Fle*_*phy 3 ssl nginx https sni
我想运行此网址: https: //192.168.1.254并在地址栏中获取具有正确内容和证书的网站。我正在访问该网站,但地址栏中出现无效证书错误,因为证书是从不同的服务器块获取的:默认服务器块000-default.conf。
有人可以向我解释这种行为吗?
我的客户端浏览器是 Google Chrome 版本 87.0.4280.88(官方版本)(64 位)
我的 Nginx 服务器是:
root@OpenWrt:/etc/nginx/conf.d# nginx -V
nginx version: nginx/1.19.4 (x86_64-pc-linux-gnu)
built with OpenSSL 1.1.1h 22 Sep 2020
TLS SNI support enabled
我认为这个问题与 SNI 显然不允许将文字 IPv4 和 IPv6 地址作为“主机名”有关。但事实真的是这样吗?
我有一个默认服务器块000-default.conf,如下所示:
server {
server_name _;
listen 80 default_server;
listen 443 ssl default_server;
## To also support IPv6, uncomment this block
# listen [::]:80 default_server;
# listen [::]:443 ssl default_server;
ssl_certificate '/etc/nginx/conf.d/_lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
return 404; # or whatever
}
另一个名为 luci-http.conf 的服务器如下:
server {
listen 80;
listen [::]:80;
server_name openwrt.lan 192.168.1.254;
# access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
include conf.d/*.locations;
}
当我在地址栏中输入http://192.168.1.254时,它会为我提供正确的网页。
我也有这个 https 服务器: luci-https.conf
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name openwrt.lan 192.168.1.254;
#include '/var/lib/nginx/lan_ssl.listen.default';
ssl_certificate '/etc/nginx/conf.d/_lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
ssl_session_cache 'shared:SSL:32k';
ssl_session_timeout '64m';
# access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
include conf.d/*.locations;
}
当我在地址栏中输入https://192.168.1.254时,它会为我提供正确的网页和_lan.crt中的证书。正如您所看到的,我在此和默认服务器块中具有相同的证书/密钥对。
但是,当我从luci-https.conf中删除该 IP 地址作为 server_name并将其添加为mysite.lan.conf中的 server_name 时,我没有看到相同的行为。
server {
listen 443 ssl;
listen [::]:443 ssl;
#listen 192.168.1.254 ssl;
#include '/var/lib/nginx/lan_ssl.listen';
server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;
root /www/mysite;
index index.html index.htm index.nginx-debian.html;
ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';
ssl_session_cache 'shared:SSL:32k';
ssl_session_timeout '64m';
location / {
try_files $uri $uri/ =404;
}
access_log /var/log/nginx/mysite.lan.access.log;
error_log /var/log/nginx/mysite.lan.error.log;
}
现在,当我将https://192.168.1.254放入地址栏中时,它会为我提供正确的网页,但同样是_lan.crt中的证书,而不是预期的mysite.lan.conf中的证书:mysite.lan.crt。
当我放..
ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';
在默认服务器块000-default.conf中,然后当我在浏览器地址栏中输入https://192.168.1.254时,我会得到该证书,无论 192.168.1.254 是否被指定为luci-https.conf或mysite.lan中的 server_name .conf。
因此,SNI 似乎会匹配 IP 地址的“主机名”,但它会从默认服务器块获取证书。这是为什么?
... SNI 显然不允许将文字 IPv4 和 IPv6 地址作为“主机名”。但事实真的是这样吗?
SNI 背后的想法是区分同一 IP 地址上的多个域。到目前为止,将 SNI 与 IP 地址一起使用并没有真正的意义。因此它也仅限于实际的主机名。引用RFC 6066:
“HostName”包含客户端理解的服务器的完全限定DNS 主机名。... “主机名”中不允许使用文字 IPv4 和 IPv6 地址
Run Code Online (Sandbox Code Playgroud)server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;...
因此,SNI 似乎会匹配作为 IP 地址的“主机名”,但它会从默认服务器块获取证书。
由于 SNI 仅用于实际主机名,因此 TLS 握手中不会有 SNI,因此使用默认的 HTTPS 配置。HTTPS 内部有 HTTP 协议,但其中包含Host标头。由于Host标头指定了 IP 地址(因为 URL 也指定了),因此它将匹配该特定的虚拟主机。因此:证书错误,内容正确。
| 归档时间: |
|
| 查看次数: |
6894 次 |
| 最近记录: |