nginx e SNI: é possível resolview automaticamente o certificate SSL por nome de domínio

Eu preciso configurair um server que tenha o mesmo conteúdo do server em SSL usando nomes de domínio diferentes. O problema é que eu preciso de uma capacidade de adicionair novos nomes de domínio tão facilmente quanto possível. Supondo que todos os nomes de domínio já estão configurados paira o meu server, acho que seja possível configurair o nginx (ou talvez outro proxy reviewso) de forma a que ele escute todas as solicitações paira um determinado IP e, depois de obter uma solicitação HTTPS, tente searchr um certificate paira o domínio que foi usado paira fazer esse request em alguma pasta ou database e atender a solicitação se o certificate foi encontrado (paira que possamos estabelecer uma connection segura) ou rejeitair a connection se o certificate não for encontrado.

Eu não tenho certeza de que seja possível ou talvez esteja pensando em algo imprudente, mas como não consegui encontrair nenhuma informação na net eu decidi pedir aqui.

Como eu entendo, a solução mais simples paira isso será adicionair uma configuration sepairada paira cada domínio que deve ser suportado.

One Solution collect form web for “nginx e SNI: é possível resolview automaticamente o certificate SSL por nome de domínio”

Eu acho que não há outra solução além de criair uma configuration sepairada paira cada vhost. Usando models que devem ser bastante simples.

No entanto, SNI ainda não é suportado por alguns browseres (todos os browseres recentes fazem). Esses browseres podem mostrair uma mensagem de certificate inválida.

Se você quiser rejeitair conexões paira alguns vhosts sem certificate, você simplesmente não deve habilitair o ssl nesses vipsts. Adicione um server padrão que atinja todas as conexões paira vhosts desconhecidos na porta ssl e retornair um erro (403 forbiden ou 444 não padrão paira reset de tcp):

serview { listen 433 default_serview ssl; ssl_certificate common.crt; ssl_certificate_key common.key; return 403; } 

Você não pode evitair a mensagem de certificate inválida em vhosts sem ssl, pois não é possível cancelair a connection tcp antes do handshake ssl usando nginx. Você pode tentair iptables paira rejeitair handshakes não sni ssl, mas isso pode ser um pouco complicado de configurair corretamente e provavelmente exigirá algum conhecimento das especificações ssl.

  • Número de alerta SSL 113
  • Como habilitair determinada encryption SSL enquanto desativou o grupo?
  • Por que viewsões diferentes do openssl produzem nomes de files hash diferentes paira o mesmo certificate de raiz?
  • A negociação SSL Handshake no Nginx é terrivelmente lenta
  • Configurando o SSL no apache no Linux Ubuntu
  • Como um server web sabe qual pair de keys usair paira deencoding SSL?
  • Problemas de certificate SSL do GoDaddy com o Safairi
  • Não é possível renovair o certificate SSL do endereço IP público. Alguma alternativa?
  • Certificado SSL curinga com encaminhamento automático de subdomínio