Резервная конфигурация для неизвестного хоста при использовании Nginx и SNI? - PullRequest
Новая
       12

Резервная конфигурация для неизвестного хоста при использовании Nginx и SNI?

0 голосов
/ 26 сентября 2018

Может кто-нибудь указать, как я могу настроить ответ хоста по умолчанию, когда мой сервер Nginx получает запрос на сайт, о котором он не знает?Я попытался: 

server {
       listen 443 default_server;
       listen [::]:443 default_server;

       server_name _;

       return 444;
}

Это просто приводит к тому, что все другие сайты вызывают ошибку "неожиданно закрытое соединение".

Обратите внимание, у меня нет планов поддерживать устаревшие клиенты https (те, кто не знает о SNI).

Я использую Nginx 1.14.0

1 Ответ

0 голосов
/ 06 октября 2018

В результате изучения Интернета ответ кажется, что вам необходимо создать самозаверяющий сертификат и затем применить его к хосту по умолчанию.Никто не поверит этому, но, учитывая, что они оказались на необработанном имени хоста, это, вероятно, не имеет большого значения?

Я следовал инструкциям на Digital Ocean , которые я обобщуздесь (слишком много, чтобы включить весь контент):

  • Создание самозаверяющего сертификата
  • Создание файла dhparam
  • Настройка хоста по умолчаниючтобы сослаться на это в конфигурации https (порт 443)

Генерация файла dhparm (это занимает некоторое время): 

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Конфигурация для 443 для хоста по умолчанию: 

server {
       listen 443 default_server;
       listen [::]:443 default_server;

       include snippets/self-signed.conf;
       include snippets/ssl-params.conf;

       server_name _;

        root /var/www/html;

        # Add index.php to the list if you are using PHP
        index index.html index.htm index.nginx-debian.html;

        server_name _;

        location / {
                ssi on;
                # First attempt to serve request as file, then
                # as directory, then fall back to displaying a 404.
                try_files $uri $uri/ =404;
        }
}

Содержимое файла ssl-signature.conf: 

ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

Содержимое файла ssl-params.conf: 

# from https://cipherli.st/

# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# Disable preloading HSTS for now.  You can use the commented out header line that includes
# the "preload" directive if you understand the implications.
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Обратите внимание, что выше было протестировано сNginx 1.14.0

...