Назад | Перейти на главную страницу

Ошибка SNI на nginx - выдается неправильный сертификат

Я тестировал безопасность своих различных сайтов в Qualsys. Все мои сайты работают на одном хосте nginx. Сайты работают нормально и получают пятёрку по тестам Qualsys. Единственная проблема, которую я действительно хочу исправить, - это настройка SNI. Я провел немало исследований по этому поводу, поэтому я понимаю, как работает SNI, и тот факт, что вам нужно правильно называть свои серверные блоки, чтобы заставить SNI работать. Все мои серверные блоки названы правильно, и я установил серверный блок по умолчанию в sites-enabled / default, который, как я думал, позаботится о принудительном использовании SNI. Однако, похоже, это не так. Я почти уверен, что проблема связана с тем, как я использую свой сервер nginx в качестве прокси для различных ресурсов, стоящих за ним, но я изо всех сил пытаюсь определить проблему. Мои файлы conf следующие:

nginx.conf

user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
worker_connections 768;
# multi_accept on;
}

http {

##
# Basic Settings
##

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;

include /etc/nginx/mime.types;
default_type application/octet-stream;

##
# SSL Settings
##

ssl_protocols TLSv1.3;
ssl_dhparam /etc/nginx/dhparam.pem;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 5m;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

##
# Logging Settings
##

access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
log_format combined_ssl '$remote_addr - $remote_user [$time_local] '
                    '$ssl_protocol/$ssl_cipher '
                    '"$request" $status $http_x_forwarded_for $body_bytes_sent '
                    '"$http_referer" "$http_user_agent"';

##
# Gzip Settings
##

gzip on;
gzip_disable "msie6";
gzip_vary on;
gzip_comp_level 6;
gzip_min_length 1100;
gzip_buffers 16 8k;
gzip_proxied any;
gzip_types
text/plain
text/css
text/js
text/xml
text/javascript
application/javascript
application/x-javascript
application/json
application/xml
application/rss+xml
image/svg+xml;

##
# Virtual Host Configs
##

include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}

сайты включены / по умолчанию

# Default server configuration
server {
listen 80 default_server;
server_name _;
return 444;
}

server {
listen 443 ssl http2 default_server;
server_name _;

ssl_certificate /etc/letsencrypt/live/myserver.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/myserver.com/privkey.pem;
return 444;
}

Пример конфигурации сайта

server {
listen 80;
server_name sub1.mydomain.com;
return 301 https://$server_name$request_uri;
}

server {
listen 443 ssl http2;
server_name sub1.mydomain.com;
client_max_body_size 0;
underscores_in_headers on;
auth_basic "$site_authentication";
auth_basic_user_file /etc/nginx/.htpasswd;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
location / {
proxy_headers_hash_max_size 512;
proxy_headers_hash_bucket_size 64;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
add_header Front-End-Https on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
proxy_pass http://192.168.1.22:6475;
proxy_read_timeout 90;
}

ssl_stapling on;
ssl_stapling_verify on;
access_log /var/log/nginx/sub1.mydomain.com.access.log;
error_log /var/log/nginx/sub1.mydomain.com.error.log;

ssl_certificate /etc/letsencrypt/live/sub1.mydomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/sub1.mydomain.com/privkey.pem;

Проблема в том, что, поскольку SNI не работает, он показывает имена других моих хостов, работающих на том же компьютере. Вот почему я временно добавил подписанный корневой сертификат и поместил его в серверный блок по умолчанию для 443. Таким образом, NGINX возвращает сертификат, который он не просто выбирает в алфавитном порядке из своих известных сертификатов.

Так может кто-нибудь сказать мне, какой кусок пазла мне не хватает? Потратил на это почти весь день, прежде чем признать поражение, поэтому я хотел бы наконец найти решение!

Спасибо за любую помощь, которую вы можете предложить.

РЕДАКТИРОВАТЬ * К сожалению, это не помогает. Вот как теперь выглядит мой http-блок:

server {
listen 80; server_name myserver.mydomain.com;
return 301 https://$server_name$request_uri;
ssl_certificate /etc/letsencrypt/live/myserver.mydomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/myserver.mydomain.com/privkey.pem;
}

Результат тот же, при тестировании все равно выдается неправильный сертификат.