在nginx中共享内存中的两个SSL通配符证书

Question

我有一个带有两个IP地址的nginx服务器，比如1.2.3.4和4.3.2.1。此外，对于*.example.net (即指向1.2.3.4的wc1 )和*.sub.example.net (即指向4.3.2.1的wc2 )有两个通配符SSL证书。

nginx文档提到可以在server实例之间共享通配符证书，如下所示：

ssl_certificate      wc1.crt;
ssl_certificate_key  wc1.key;

server {
    listen           1.2.3.4:443;
    server_name      www.example.net;
    ssl              on;
    ...
}

server {
    listen           1.2.3.4:443;
    server_name      test.example.net;
    ssl              on;
    ...
}

但是，我想知道是否也可以在第二个通配符证书中使用相同的构造。这两个域都有大约500个子域。

由于ssl_certificate构造现在是全局的，它们不会混淆吗？

Answer 1

试试这个：

server {
    listen           1.2.3.4:443 default_server ssl;
    server_name      _;
    ssl_certificate      wc1.crt;
    ssl_certificate_key  wc1.key;
}

server {
    listen           4.3.2.1:443 default_server ssl;
    server_name      _;
    ssl_certificate      wc2.crt;
    ssl_certificate_key  wc2.key;
}

server {
    listen           1.2.3.4:443 ssl;
    server_name      www.example.net;
    ...
}

server {
    listen           1.2.3.4:443 ssl;
    server_name      test.example.net;
    ...
}

server {
    listen           4.3.2.1:443 ssl;
    server_name      www.sub.example.net;
    ...
}

server {
    listen           4.3.2.1:443 ssl;
    server_name      test.sub.example.net;
    ...
}

我可以肯定这个方法确实适用于一个通配符证书，所以这里希望它适用于两个或更多个。

信贷：https://serverfault.com/a/548942/185775

Answer 2

ssl_certificate指令可以在http块级别使用(在这种情况下它适用于所有server块)，也可以在server级别使用(在这种情况下，它只适用于特定的server块)。如果要使用不同的证书，只需在适当的ssl_certificate块中定义server。