কোন এসএসএল শংসাপত্র এনজিন্স এসএনআই দিয়ে প্রথমে প্রেরণ করবে তা কীভাবে ব্যাখ্যা করবেন?


12

আমি ডিবিয়ান স্কিজে প্রায় 30 টি ডোমেনের জন্য ওপেনএসএসএল 0.9.8o সহ এনগিনেক্স 1.2.7 ব্যবহার করি। তাদের দু'টিতে আমি এসএসএল সক্ষম করেছি যা উভয়ের পক্ষে দুর্দান্ত কাজ করে।

এসএসএল কনফিগারেশন উভয় ডোমেনের জন্য ব্যবহার করা হচ্ছে:

listen 443 ssl;
ssl_certificate /etc/nginx/ssl/example.org-unified.crt;
ssl_certificate_key /etc/nginx/ssl/example.org.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security max-age=600000;

Ssllabs.com চেকারের সাহায্যে উভয় ডোমেন পরীক্ষা করা আমি একটি ডোমেনের জন্য বিজ্ঞপ্তি পাই "এই সাইটটি কেবল এসএনআই সমর্থন সহ ব্রাউজারগুলিতে কাজ করে।" অন্য ডোমেনের জন্য আমি এই বার্তাটি পাই না। দেখে মনে হচ্ছে ডিফল্টভাবে এনজিনেক্স এসএনআই সমর্থন ছাড়াই ক্লায়েন্টগুলিকে বর্ণানুক্রমিকভাবে প্রথম ডোমেনের জন্য শংসাপত্র প্রেরণ করে। আমি কি এই আচরণ পরিবর্তন করতে পারি?

অন্য কথায়: আমি এসএনআই সমর্থন ছাড়াই ক্লায়েন্টদের জন্য এসএসএল সহ একটি নির্দিষ্ট ডোমেন ব্যবহার করার জন্য এনগিনেক্সকে কনফিগার করতে চাই। অন্যান্য ডোমেনগুলিরও এসএসএল-এর সাথে কাজ করা উচিত তবে এটি ঠিক আছে যদি এটি কেবল এসএনআই সক্ষম ক্লায়েন্টগুলিতে কাজ করে।

ধন্যবাদ!

উত্তর:


20

default_serverসেটিং listenনির্দেশ নির্ধারণ উচিত যা শংসাপত্র হ্যান্ডশেক মধ্যে sni সেট ছাড়া একটি অনুরোধের জন্য পাঠানো হয়। listenপছন্দসই ডিফল্টের নির্দেশ পরিবর্তন করুন :

listen 443 default_server ssl;
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.