为什么要监听 443 default_server; nginx 规则覆盖已配置的规则（http 规则正常工作）？

Question

我有一个 nginx 和不同的子域：

a.mydomain.com
b.mydomain.com
c.mydomain.com

Nginx 有 4 条规则：

1）重写规则：

server {
  listen 80
  server_name gl.udesk.org;

  root /nowhere;
  rewrite ^ https://a.mydomain.com$request_uri permanent;
}

2）https规则：

server {

  listen 443;
  server_name a.mydomain.com;

  root /home/a/a/public;

  ssl on;
  ssl_certificate conf.d/ssl/a.crt;
  ssl_certificate_key conf.d/ssl/a.key;
  ssl_protocols ...
  ssl_ciphers ...
  ssl_prefer_server_ciphers on;

  location ...
}

3）http默认规则：

server {
  listen 80 default_server;
  return 444;
}

4）https默认规则：

server {
  listen 443 default_server;
  return 444;
}

因此，如果我启动 nginx 并且：

• 如果我在浏览器中访问http://a.mydomain.com，它会重定向到 https://a.mydomain.com，然后返回错误 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL 协议错误。
• 如果我在浏览器中访问https://b.mydomain.com，我希望它返回错误 444。但相反，它返回相同的错误 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL 协议错误。
• 因此对于所有由 DNS 提供商注册的 CNAME（即 a、b、c）
• 所有 http 版本（例如规则 3 - ）都按预期工作：
  • http://a.mydomain.com重定向到 https:// 版本，
  • http://b.mydomain.com和http://c.mydomain.com按照配置返回错误 444。

那么为什么nginx中的 https 规则配置起来如此棘手，我应该如何正确配置它们以获得与 http 版本相同的行为？

更新：

创建新证书并添加：

ssl on;
ssl_certificate conf.d/ssl/default.crt;
ssl_certificate_key conf.d/ssl/default.key;

现在可以工作，但我会有一个不需要任何 SSL 证书的解决方案。只需重置除https://a.mydomain.com 之外的所有 https（端口 443）子域的所有连接，无需提供证书。

Answer 1

不要将端口 443 与 ssl 混合使用！Nginx 完全与端口无关。您也可以通过端口 80 提供 https。现代 nginx 版本允许

listen 1234 ssl;

那么你就不需要ssl on;这条线了。

但如果你想提供 https 服务，你需要指定一个证书。当您的服务器将 http 请求重写为 https 请求时，您的服务器就会输入 https。

您会收到协议错误，因为 SSL 握手是在其他任何事情之前完成的。所以return 444没有达到。任何 SSL 握手都需要证书和私钥，以便为加密算法提供证书/私钥对。