Nginxサーバーで単一のホストから複数の仮想ホストに構成を切り替えています。私の変更まで、sslは正しく機能していましたが、それぞれが一意のドメイン名と、その結果として異なる証明書を持ついくつかの仮想ホストを追加した後、sslは機能しません。
私の元の構成は:
# fragment of nginx.conf file
http {
# ...
ssl_certificate_key /path/to/privkey.pem;
ssl_certificate /path/to/fullchain.pem;
ssl_dhparam /path/to/dhparam;
# ...
}
したがって、これはnginxサーバー用の単一の証明書です。
いくつかの仮想ホストを追加した後、ドメイン用に独自の正しい証明書を提示してほしい。そのため、メインのnginx.conf
ファイルからすべてのssl関連のパラメーターを削除し、それらを次のような仮想ホストファイルに追加しました。
# fragment of sites-enabled/my.server.com file
server {
listen 443 ssl;
root "/var/www/my.server.com/";
server_name my.server.com www.my.server.com;
location / {
try_files $uri $uri/ /index.html;
}
ssl_certificate_key /path/to/my/server/com/privkey.pem;
ssl_certificate /path/to/my/server/com/fullchain.pem;
ssl_dhparam /path/to/my/server/com/dhparam;
}
Nginxをリロードした後、これらの仮想ホストに接続できません。
# curl https://my.server.com
curl: (35) gnutls_handshake() failed: The TLS connection was non-properly terminated.
# openssl s_client -connect my.server.com:443
CONNECTED(00000003) 140524682454680:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
--- no peer certificate available
--- No client certificate CA names sent
--- SSL handshake has read 0 bytes and written 305 bytes
--- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1488541876
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
私にとっては、nginxが証明書ファイルを見つけられない/読み取れないように見えますが、パスは仮想ホストなしの構成の場合とまったく同じであるため、そうではありません。
/var/logs/nginx/error.log
を確認した後、次の行も見つかりました。
*39 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking
私はそれが本当に小さくて私が見逃しているものの愚かであると確信しています。誰かが私が間違っていることを見ることができますか?
443ポートにバインドされ、sslが正しく構成されていない有効な仮想ホストが少なくとも1つあることがわかりました(ssl_certificate_key
、ssl_certificate
パラメータが不足していました)。
理由はわかりませんが、nginxはこれについて文句を言わず、代わりに他の仮想ホストが壊れていました。