Nginx। তালিকাভুক্ত এসএসএল ভার্চুয়াল সার্ভারের অনুরোধ আমি কীভাবে প্রত্যাখ্যান করব?

আমার একই আইপিতে একটি ওয়াইল্ডকার্ড এসএসএল শংসাপত্র এবং কয়েকটি সাবডোমেন রয়েছে। এখন আমি চাই যে আমার এনজিনেক্স কেবলমাত্র উল্লিখিত সার্ভারের নামগুলি হ্যান্ডেল করে অন্যের জন্য ড্রপ সংযোগটি যাতে দেখে মনে nginxহয় যে তালিকাভুক্ত সার্ভারের নামগুলির জন্য চলছে না (প্রতিক্রিয়াতে কোনও প্রতিক্রিয়া নয়, প্রত্যাখ্যান করছে, মৃত হবে না)। আমি নিম্নলিখিতটি করি

ssl_certificate         tls/domain.crt;
ssl_certificate_key     tls/domain.key;

server {
  listen 1.2.3.4:443 ssl;
  server_name validname.domain.com;
  //
}

server {
  listen 1.2.3.4:443 ssl;
  server_name _;
  // deny all;
  // return 444;
  // return 404;
  //location {
  //  deny all;
  //}
}

আমি সর্বশেষ সার্ভার ব্লকের প্রায় সবকিছু চেষ্টা করেছি, তবে কোনও সাফল্য পাইনি। আমি হয় জ্ঞাত ভার্চুয়াল সার্ভার বা ত্রুটি কোড থেকে বৈধ প্রতিক্রিয়া পাই। সাহায্য করুন.

এটি সেভাবে কাজ করে না: এইচটিটিপি-র আগে এসএসএল হ্যান্ডশেক হয়, সুতরাং এনজিএনএক্স কনফিগারেশনের মধ্যে আপনাকে পুনর্নির্দেশ করতে বা অন্য কিছু করার আগে শংসাপত্রের নামটি ব্রাউজারে মূল্যায়ন করবে get

সিজিসির উত্তর ইতিমধ্যে এসএসএল সক্ষম থাকা অবস্থায় হোস্টের নামগুলির সাথে মেলে চেষ্টা করার সাথে সমস্যাটি সঠিকভাবে নির্দেশ করেছে। তবে এটি করা সম্ভব, এটির মতো:

server {
    ...

    if ($host !~* ^validname\.domain\.com$ ) {
        return 444;
    }
    ...
}

দ্রষ্টব্য: হ্যাঁ এটি সত্য যে সাধারণভাবে ifমন্দ , তবে ifএই ক্ষেত্রে এটি ব্যবহার করা নিরাপদ । (আপনার যদি নিজেকে বোঝানোর দরকার হয় তবে লিঙ্কযুক্ত পৃষ্ঠাটি পড়ুন))

বিপরীতে যা পরামর্শ দেওয়া হয়েছে, কেবলমাত্র নিম্নলিখিত ব্লকটি যুক্ত করা কার্যকর হবে না:

server {
    listen 80;
    listen 443 ssl;
    return 444;
}

কারণ কোনও এসএসএল শংসাপত্রের সাথে validname.domain.comমেলে এমন কিছু এলোমেলো ডোমেন নাম মেলে না। আমি এটি চেষ্টা করে দেখেছি, এবং এনজিনেক্স এমন অভিনয় করেছিল যে ব্লকটি মোটেও উপস্থিত ছিল না।

এটিও কাজ করবে না:

server {
    listen       443;
    server_name    _;
    return 444; 
}

কারণ এটি 443 পোর্টে প্রতিটি একক এইচটিটিপিএস সংযোগকে ব্যর্থ করে দেবে, এমনকি এটির মধ্য দিয়ে যাওয়া উচিত। আমি এটিও চেষ্টা করেছি। wgetএকটি এসএসএল হ্যান্ডশেক ত্রুটির কথা জানিয়েছে।

এখানে বেশিরভাগ উত্তর কেন এটি কাজ করে না, কীভাবে এটি কাজ করে তা নয় ।

এখানে কীভাবে - আপনার যেমন ক্যাচ-অল সার্ভারকে একটি 'ডিফল্ট_সরভার' তৈরি করতে হবে এবং সার্টিফিকেট / কী-তে পাথ সরবরাহ করা প্রয়োজন যাতে এটি আগত এসএসএল অনুরোধটি ডিক্রিপ্ট করে এবং হোস্ট শিরোনামটির সাথে মেলে:

server {
    listen 80 default_server;
    listen 443 ssl default_server;
    server_name _;
    ssl_certificate <path to cert>;
    ssl_certificate_key <path to key>;
    return 404;
}

সেখানে ssl_cerર્ટate / ssl_cerર્ટate_key নোট করুন। যদি সেগুলি নির্দিষ্ট না করা থাকে তবে এনজিনেক্স এখনও এই জাতীয় ডিফল্ট_সার্ভার ব্যবহার করার চেষ্টা করে এবং ব্যর্থ হয় কারণ এটি এসএসএল সংযোগ ডাব্লু / ওএ সার্ট / কী গ্রহণ করতে পারে না। যে কোনও সার্টিফিকেট / কী ব্যবহার করতে পারেন যেমন স্ব স্বাক্ষরিত। ...

একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে:

openssl req -x509 -newkey rsa:4096 -nodes -out cert.pem -keyout key.pem -days 365 

এছাড়াও /server//a/841643/87439 দেখুন

আমি আজ উপরের সমাধানটি কার্যকর করেছি এবং এটি সাঁতার কাটিয়ে কাজ করেছে। সমস্ত ইউআরএল সরিয়ে ফেলা হয়েছে, এখন। প্রকৃত ভার্চুয়াল সার্ভার এন্ট্রি হওয়ার আগে এই সার্ভার কোডটি স্থাপন করা কী ছিল - সমস্ত ম্যাল-রচিত URL এখন এই 'ডিফল্ট' সার্ভারে যায়।

... 
server {
     listen       443;
     server_name    _;
     return 444; }

server {
     listen       443;
     server_name  [URL]

আপনার কনফিগারেশনে তালিকাভুক্ত আইটেমকে প্রথম সার্ভার ব্লক করে এমন সার্ভার তৈরি করে আপনি এটি পরিচালনা করতে সক্ষম হবেন।

http {
    ...

    server {
        listen 80;
        listen 443 ssl;
        return 444;
    }

    server {
        server_name validname.domain.com;
        ...
    }
}

বিশেষভাবে চিহ্নিত নয় এমন সমস্ত ডোমেন এই সার্ভার ব্লক দ্বারা পরিচালিত হবে।