Резервная конфигурация для неизвестного хоста при использовании Nginx и SNI?

Может ли кто-нибудь указать, как я могу настроить ответ хоста по умолчанию, когда мой сервер Nginx запрашивается о сайте, о котором он не знает? Я старался:

server {
       listen 443 default_server;
       listen [::]:443 default_server;

       server_name _;

       return 444;
}

Это просто приводит к тому, что все остальные сайты вызывают ошибку «неожиданно закрытое соединение».

Обратите внимание: я не планирую поддерживать устаревшие клиенты https (те, которые не знают о SNI).

Я использую Nginx 1.14.0


nginx sni
person Andre M    schedule 26.09.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Изучая Интернет, кажется, что вам нужно создать самозаверяющий сертификат, а затем применить его к хосту по умолчанию. Никто не поверит этому, но, учитывая, что они оказались на необработанном имени хоста, это, вероятно, не имеет большого значения?

Я следовал инструкциям на Цифровой океан, который я приведу здесь (слишком много, чтобы включить весь контент):

  • Создать самоподписанный сертификат
  • Сгенерируйте файл dhparam
  • Настройте хост «по умолчанию», чтобы ссылаться на него в конфигурации https (порт 443)

Создание файла dhparm (это занимает некоторое время):

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Конфигурация 443 для хоста по умолчанию:

server {
       listen 443 default_server;
       listen [::]:443 default_server;

       include snippets/self-signed.conf;
       include snippets/ssl-params.conf;

       server_name _;

        root /var/www/html;

        # Add index.php to the list if you are using PHP
        index index.html index.htm index.nginx-debian.html;

        server_name _;

        location / {
                ssi on;
                # First attempt to serve request as file, then
                # as directory, then fall back to displaying a 404.
                try_files $uri $uri/ =404;
        }
}

Содержимое файла ssl-signed.conf:

ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

Содержимое файла ssl-params.conf:

# from https://cipherli.st/

# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# Disable preloading HSTS for now.  You can use the commented out header line that includes
# the "preload" directive if you understand the implications.
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Обратите внимание, что приведенное выше было протестировано с Nginx 1.14.0.

person Andre M    schedule 05.10.2018