NGINX:每个域共享多个ssl_证书的

Question

是否有可能让每个域使用多个ssl证书？当我谷歌这个，最重要的结果是一篇文章关于如何有两个ssl_certificates两个领域，但每个领域是绑定到一个ssl_certificate。是否有办法将每个证书绑定到多个证书上？我希望它工作的方式是尝试使用第一个ssl证书，如果它失败了，尝试使用第二个证书，如果不起作用，返回到其他选项。我们尝试使用本文中的技术，但是当我们这样做时，nginx给了我们这样的警告：

2016/12/30 20:31:41 [warn] 186#186: conflicting server name "domain1" on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name "domain1" on 0.0.0.0:443, ignored
2016/12/30 20:31:41 [warn] 186#186: conflicting server name "domain2" on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name "domain2" on 0.0.0.0:443, ignored

我们为什么要这么做？ssl_certificate指的是允许访问一个入站域的文件，我们还希望nginx允许从另一个域访问。我对ssl/证书不太了解。是否有一种简单的方法可以修改ssl_certificate以允许多个域？这将是解决这一问题的另一种办法。

Answer 1

在TLS握手中只提供一张叶子证书。如果此证书的验证失败，握手将失败。虽然许多浏览器将使用较低的协议TLS版本重试，以避免服务器崩溃，但这并不打算用于提供不同的证书。除此之外，浏览器之外的TLS实现几乎没有实现这个回退。

因此，服务器不支持在单个主机配置中提供多个叶证书。它们通常支持为不同的子域拥有不同的证书，也可以使用不同的证书(即不同的IP地址或端口)为同一域拥有不同的服务器。在较新的服务器中，单一配置也可能同时允许RSA和ECC证书(即ECDSA身份验证)，但在这种情况下，服务器只需选择客户端支持的密码所基于的相关证书，并且仍然只发送单一的叶证书。