【nginx】配置nginx支持ssl sni (一个IP绑定多个证书)

最新推荐文章于 2024-07-24 10:52:21 发布
最新推荐文章于 2024-07-24 10:52:21 发布
阅读量2.7w 收藏 4
点赞数 1
分类专栏: nginx 文章标签: nginx ssl .net module server flv
概述
传统的每个SSL证书签发,每个证书都需要独立ip,假如你编译openssl和 nginx时候开启TLS SNI (Server Name Identification) 支持,这样你可以安装多个SSL,绑定不同的域名,可以共享同一个ip。


nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)

较早前唯一的办法是签署一个通配证书,即 CNAME 中为 *.delphij.net 这样的证书,即采用的是泛域名的形式进行绑定。

但是对于不是泛域名的证书无法实现一个IP绑定多个证书。 下面讲到的TLS SNI技术可以实现一个IP绑定多个证书。

目的
使用https://ssl.15099.net和https://selfssl.15099.net 使用同一ip,可以配置https,测试环境: 美国VPS+CentOS
编译openssl支持TLS SNI
cd /usr/src/
wget http://www.openssl.org/source/openssl-0.9.8l.tar.gz
tar zxvf ./openssl-0.9.8l.tar.gz
cd ./openssl-0.9.8l
./config enable-tlsext
make
make install
cd ..

编译nginx支持TLS SNI
cd /usr/src/
wget http://nginx.org/download/nginx-0.7.67.tar.gz
tar zxvf nginx-0.7.67.tar.gz
cd nginx-0.7.67

./configure \
--prefix=/usr \
--sbin-path=/usr/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx.pid  \
--lock-path=/var/lock/nginx.lock \
--user=nobody\
--group=nobody\
--with-http_stub_status_module\
--with-http_ssl_module \
--with-http_flv_module \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/tmp/nginx/client_temp/ \
--http-proxy-temp-path=/var/tmp/nginx/proxy_temp/ \
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi_temp/  \
--with-openssl=../openssl-0.9.8l/

make
make install


查看现在nginx是不是支持了TLS SNI

[root@www ~]# nginx -V
nginx version: nginx/0.7.67
built by gcc 4.1.2 20080704 (Red Hat 4.1.2-48)
TLS SNI support enabled
configure arguments: --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/lock/nginx.lock --user=nobody --group=nobody --with-http_stub_status_module --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --http-client-body-temp-path=/var/tmp/nginx/client_temp/ --http-proxy-temp-path=/var/tmp/nginx/proxy_temp/ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi_temp/ --with-openssl=../openssl-0.9.8l/
[root@www ~]#

生成自签发的证书
ssl.15099.net证书签发
生成证书的签发需要四个步骤:

 ssl.15099.net.crt                 自签署的CA证书
 ssl.15099.net.csr                证书签名请求文件
 ssl.15099.net.key                私钥文件
 ssl.15099.net_nopass.key 不需要密码的私人钥文件

cd /etc/nginx/

1. openssl genrsa -des3 -out ssl.15099.net.key 1024
2 .openssl req -new -key ssl.15099.net.key -out ssl.15099.net.csr
3. openssl rsa -in ssl.15099.net.key -out ssl.15099.net_nopass.key
4. openssl x509 -req -days 365 -in ssl.15099.net.csr -signkey ssl.15099.net.key -out ssl.15099.net.crt
  生成
mkdir -p /usr/share/nginx/15099.net/ssl.15099.net
echo "selfssl test 1" > /usr/share/nginx/15099.net/ssl.15099.net/index.html

下面是上述命令的详细输出

[root@www nginx]# cd /etc/nginx/
[root@www nginx]# openssl genrsa -des3 -out ssl.15099.net.key 1024  #创建私钥文件
Generating RSA private key, 1024 bit long modulus
.......................................++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ssl.15099.net.key:  #输入密码

Verifying - Enter pass phrase for ssl.15099.net.key:  #重复输入密码


[root@www nginx]# openssl req -new -key ssl.15099.net.key -out ssl.15099.net.csr  #创建证书签名请求文件
Enter pass phrase for ssl.15099.net.key:  #输入刚才设置的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:CN   #国家
State or Province Name (full name) [Berkshire]:Guangdong  #省份
Locality Name (eg, city) [Newbury]:Guangzhou  #城市
Organization Name (eg, company) [My Company Ltd]:15099.NAT  #组织机构或单位名称
Organizational Unit Name (eg, section) []:15099.NET  #部门
Common Name (eg, your name or your server's hostname) []:ssl.15099.net  #域名,你需要绑定ssl的域名
Email Address []:admin@youdomain.com  #邮箱,如何需要申请认证的证书,这个邮箱很重要。我这里写错,是防止垃圾邮件

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:  #直接按回车
An optional company name []:  #直接按回车
[root@www nginx]# openssl rsa -in ssl.15099.net.key -out ssl.15099.net_nopass.key  #生成不需要密码的私人钥文件
Enter pass phrase for ssl.15099.net.key:  #输入刚才设置的密码

writing RSA key


[root@www nginx]# openssl x509 -req -days 365 -in ssl.15099.net.csr -signkey ssl.15099.net.key -out ssl.15099.net.crt  #生成自签署的CA证书
Signature ok
subject=/C=CN/ST=Guangdong/L=Guangzhou/O=15099.NAT/OU=15099.NET/CN=ssl.15099.net/emailAddress=admin@15099.net
Getting Private key
Enter pass phrase for ssl.15099.net.key:
[root@www nginx]#

相关备注:
在您生成CSR时,公用名(Common Name)是必须填写的,公用名(Common Name) 是您的主机名+域名,比如:ssl.15099.net美国VPS服务器证书是颁发给某一台主机的,而不是一个域,您的公用名(Common Name)必须与您要使用服务器证书的主机的全名完全相同,因为www.domain.com与domain.com是不同的。 

selfssl.15099.net证书签发

cd /etc/nginx/
openssl genrsa -des3 -out selfssl.15099.net.key 1024
openssl req -new -key selfssl.15099.net.key -out selfssl.15099.net.csr
openssl rsa -in selfssl.15099.net.key -out selfssl.15099.net_nopass.key
openssl x509 -req -days 365 -in selfssl.15099.net.csr -signkey selfssl.15099.net.key -out selfssl.15099.net.crt

mkdir -p /usr/share/nginx/15099.net/selfssl.15099.net
echo "selfssl test 2" > /usr/share/nginx/15099.net/selfssl.15099.net/index.html

添加nginx虚拟主机 配置文件
vi /etc/nginx/conf.d/15099.net.conf

内容如下:
server {
server_name ssl.15099.net;
listen  443;

index index.html index.htm index.php;
root /usr/share/nginx/15099.net/ssl.15099.net;

ssl on;
ssl_certificate ssl.15099.net.crt;(
ssl_certificate_key ssl.15099.net_nopass.key;
}

server {
server_name selfssl.15099.net;
listen  443;

index index.html index.htm index.php;
root /usr/share/nginx/15099.net/selfssl.15099.net;
ssl on;

ssl_certificate selfssl.15099.net.crt;
ssl_certificate_key selfssl.15099.net_nopass.key;
}

重启nginx,就可以使用https://ssl.15099.net和https://selfssl.15099.net访问了。



http://www.15099.net/search/label/nginx 出处
csallen
关注
专栏目录
Nginx安装 两个SSL证书,只需要添加多个证书路径
weixin_44672319的博客
09-05 2099
nginx 如何安装SSL证书,环境是centos7 nginx1.18 php8 mysql5.7 ,但测试过任何一个版本nginx 都成功
nginx+php多域名,phpstudy 配置nginx支持SNI多个二级域名共用一个ip
weixin_33669545的博客
03-17 548
说明一级域名类似于baidu.com这样的,像www.biadu.com、tieba.baidu.com这样的属于二级域名,我们平时买的都是一级域名,有了一级域名之后对于二级域名我们是可以根据自己的需要随意配置的,我们的目的是配置出http(s)://www.xxxx.cn和http(s)://blog.xxxx.cn这样的二级可以用http(s)访问的域名。1.下载你的两个CA证书,解压选择ng...
Nginx开启TLS SNI support
luoxiping1的专栏
09-20 4998
之前因为想让VPS上的多个站点都使用SSL加密,主要那些twitter api被墙怕了,还是加密好 但是看一个ip只能一个ssl证书,我不可能去多买几个ip吧,毕竟只是自己想玩玩,不是那种必须的 但是既然想了就折腾下,后来查了下资料,可以multiple SSL sites on a single IP address 而Nginx如果开启TLS SNI support,就能支持多个SSL...
Nginx HTTPS反向代理,开启SNI,proxy_ssl_server_name 和proxy_ssl_name介绍
最新发布
zzhongcy的专栏
07-24 967
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
一个ip对应多个域名多个ssl证书配置-Nginx实现多域名证书HTTPS
Willian的博客屋
11-07 8824
引用处: 一个ip对应多个域名多个ssl证书配置-Nginx实现多域名证书HTTPS Nginx配置多个HTTPS域名的方法 第一步:一台服务器,两个或者多个域名映射。首先购买https,获取到CA证书,两个域名就得到两套或多套证书 第二步:现在就是Nginx和OpenSSL的安装与配置(这里注意,一般情况下一个IP支持一个SSL证书,那么我们现在要在一个IP上实现多个SSL证书,就必须让Ngi...
配置Nginx支持SSL SNI一个IP绑定多个证书) 以及Haproxy实现多域名证书
weixin_34389926的博客
12-05 667
概述 传统的每个SSL证书签发,每个证书都需要独立ip,假如你编译opensslnginx时候开启TLS SNI (Server Name Identification) 支持,这样你可以安装多个SSL绑定不同的域名,可以共享同一个ip。 近期由于遇到申请通配符版证书时,比如*.bb.com这样的二级域名时,主域名为二级域名时,主域名和其子通配符下的域名可以用同一张证书,但是像*.aa.b...
Linux下Nginx配置多域名及SSL证书
清山博客
03-12 2680
1.配置域名接上一篇本文描述如何配置Nginx多域名及SSL证书。假设Nginx安装在目录下。,要实现配置域名和SSL证书,都是修改此配置文件。1.配置域名如果有多个域名,只需多配置几个server节点即可。
NginxIP地址配置多个SSL证书的方法示例
09-30
需要注意的是,虽然SNI扩展允许一个IP地址上的Nginx服务器绑定多个SSL证书,但不是所有浏览器都支持SNI。对于不支持SNI的旧版浏览器,仍需要为每个域名分配一个独立的IP地址。此外,Nginx配置文件应该根据实际的...
Nginx一个IP一个端口下配置多个HTTPS域名主机
My Codes, My Life
12-02 6674
最近需要在一个云服务器上搭建两个不同的网站,配置nginx.conf后在http域名下测试成功,http://siteA.com 和 http://siteB.com都能正常访问且是访问不同的内容。 但在配置ssl证书开启Https之后就出现问题了,无论是访问https://siteA.com 还是 https://siteB.com 都是引用了siteA.com 的证书,导致https://siteB.com 无法正常访问。 访问Nginx的官网,上面有解释原因和提供了解决办法: Configuri
深入理解nginx的https sni机制
一个致力于开源代码学习、分析和交流的博客
02-29 1787
本文从ssl上下文的初始化、ssl连接的初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
Nginx安装ssl模块和配置ssl证书
qq_46351761的博客
10-15 6754
ssl证书概要 SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书SSL 证书 [1] 就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。 SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的
如何安装免费https证书
长舒的博客
11-28 948
主页????可以防止数据在传输过程中产生的隐私泄露的问题,原来的网站在经过ssl证书的签发后会变成https开头,下面记录一下配置https加密的整个过程 文章目录购买域名设置https加密 购买域名 首先第一步我们为了防止自己的公网ip暴露出去,需要给自己的网站设定一个全球唯一的域名,然后通过DNS域名解析器会将服务器的公网ip与域名绑定在一起,在此之前,我们需要去云服务商网站购买一个域名 推荐大家去腾讯云上购买 腾讯云域名注册入口 我们在这里买一个自己喜欢的域名 接下来,进入域名解析的主页,我这个
nginx部署SSL证书,同一个IP绑定多个单域名证书,实现https请求,支持TLSv1.2
weixin_44116361的博客
02-10 1268
ngnix部署SSL证书,同一个IP绑定多个单域名证书,实现https请求 下载编译环境 yum -y install gcc yum -y install gcc-c++ yum install -y zlib-devel 切换目录 cd /usr/local/src/ wget http://downloads.sourceforge.net/project/pcre/pcre/8.35/pcre-8.35.tar.gz tar zxvf pcre-8.35 编译安装 cd pcre-8.35 ./c
nginx支持SNI
chenxiancen9767的博客
05-10 904
文章来源:https://carey.akhack.com/2017/05/03/nginx%E6%94%AF%E6%8C%81SNI/ 启用原因 nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书配置不同的域...
nginx(十)SNI理解
wzj_110的博客
11-26 5214
SNI介绍 (1)SNI产生的背景 摘录'不同'的地方,便于'辩证'学习 client和server'先建立了tcp连接',再经过'TLS握手',才能实现'https通信' 大白鲨抓包看SNI (2)SNI的概念 TLS握手的过程 服务器名称指示'Server Name Indication,简称SNI'是一个'扩展的TLS'计算机联网协议,在该协议下,在'握手过程开始时'通过'客户端'告诉它正在连接的服务器的主机名称 这允许服务器在'相同的IP地址和TCP端口..
nginx多https证书配置精简
zzhongcy的专栏
04-07 4721
其实有很多方式,网上看到一个这个方法,给大家介绍一下。
Nginx支持SNI证书,已经ssl_server_name的使用
zzhongcy的专栏
10-07 1224
传统的应用场景中,一台服务器对应一个IP地址,一个域名,使用一张包含了域名信息的证书。随着云计算技术的普及,在云中的虚拟机有了一个IP,对应多个域名,使用多张证书的应用场景,SNI技术应运而生。SNIServer Name Indication),即实现了一个服务器使用多个域名证书TLS扩展,支持用户配置多个域名证书
Nginx-SSL 多https证书配置 以及nginx常用配置、高可用负载均衡
qq_39234840的博客
08-01 1124
1. 进入nginx目录,cd /usr/local/nginx/conf 2. 创建cert文件夹,mkdir cert 把下载下来的key上传到文件夹中 3. 更改nginx.conf文件 新增一个server (如果是多个二级域名有多个证书,每个域名证书都加一个server) server { listen 443; server_name...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值