Я переключаю конфигурацию с одного хоста на несколько виртуальных хостов на сервере nginx. До моих изменений ssl работал правильно, но после добавления нескольких виртуальных хостов, каждый с уникальным доменным именем и, следовательно, другим сертификатом, ssl не хочет работать.
Моя первоначальная конфигурация была:
# fragment of nginx.conf file
http {
# ...
ssl_certificate_key /path/to/privkey.pem;
ssl_certificate /path/to/fullchain.pem;
ssl_dhparam /path/to/dhparam;
# ...
}
Итак, это единый сертификат для сервера nginx.
После добавления нескольких виртуальных хостов я хочу, чтобы они представили свои собственные правильные сертификаты для своих доменов. Поэтому я удалил все параметры, связанные с ssl, из основного nginx.conf файл и добавил их в такие файлы виртуальных хостов:
# fragment of sites-enabled/my.server.com file
server {
listen 443 ssl;
root "/var/www/my.server.com/";
server_name my.server.com www.my.server.com;
location / {
try_files $uri $uri/ /index.html;
}
ssl_certificate_key /path/to/my/server/com/privkey.pem;
ssl_certificate /path/to/my/server/com/fullchain.pem;
ssl_dhparam /path/to/my/server/com/dhparam;
}
После перезагрузки nginx я не могу подключиться к этим виртуальным хостам:
# curl https://my.server.com
curl: (35) gnutls_handshake() failed: The TLS connection was non-properly terminated.
# openssl s_client -connect my.server.com:443
CONNECTED(00000003) 140524682454680:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
--- no peer certificate available
--- No client certificate CA names sent
--- SSL handshake has read 0 bytes and written 305 bytes
--- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1488541876
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
Для меня действительно похоже, что nginx не может найти / прочитать файл сертификата, но это не так, поскольку пути в точности такие же, как для конфигурации без виртуальных хостов.
Посмотрев на /var/logs/nginx/error.log Я также нашел строку:
*39 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking
Я уверен, что мне не хватает чего-то действительно маленького и глупого. Кто-нибудь может увидеть, что я делаю не так?
Оказалось, что был хотя бы один активированный виртуальный хост, который был привязан к порту 443 и не имел правильно настроенного ssl (ssl_certificate_key, ssl_certificate параметры отсутствовали).
Не знаю почему, но nginx не жаловался на это, а вместо этого - другие виртуальные хосты были сломаны.