Sginを使用して単一のIPから複数のHTTPSドメインを提供するNginxインスタンスがあります。
セットアップの唯一の不具合は、サーバーのベアIPのURL、または対応するHTTPSサーバーブロックがないIPにリストされているドメインが要求されると、Nginxが最初の(デフォルトとして動作する)ドメインで応答することです。この場合、単純に標準の403 Forbiddenを返すほうを好みます-これを行うためにデフォルトのサーバーブロックを設定しますが、クライアント証明書の不一致の警告を回避する方法がわかりません。
(どのようにc | C)ブラウザを混乱させる特定のssl証明書を指定する必要なしに、そのような未知/未定義のドメインへのリクエストを拒否するようにNginxを設定しますか?(つまり、「悪い」証明書でクライアントを混乱させる前に、403でNginxがリクエストを拒否する必要があります-クライアントのPOVから、これはHTTPSサーバーブロックがまったく定義されていない場合と同じです。)
回答:
この質問は私が昨日回答したものと非常に似ています:nginxとSNI:ドメイン名でSSL証明書を自動的に解決することは可能ですか
ユーザーがブラウザに不正な証明書メッセージを表示する前に接続を拒否することはできません。NginxがHTTP 403応答を返すまでに、SSLハンドシェイクは終了し、ハンドシェイクを完了するには、ブラウザーが提供された証明書を受け入れる必要があります。ユーザーが証明書を受け入れた後でのみ、デフォルトサーバーを設定して接続を拒否できます。
server {
listen 433 default_server ssl;
ssl_certificate common.crt;
ssl_certificate_key common.key;
return 403;
}
ただし、最新のブラウザはサーバー名表示をサポートしており、各仮想ホストに証明書が設定されている場合、通常のユーザーがそのメッセージを表示することはほとんどありません。
iptablesでSSLによって示された有効なホスト名がない接続を拒否することは可能かもしれませんが、それはおそらくかなりトリッキーであり、どの標準にもまったく準拠していません。
更新された情報:return 444証明書エラーが表示される直前にtcp接続を中止することが可能です。
return 444証明書エラーが表示される前にtcp接続を中止できることがわかりました。
ドメインが同じマスター(* .example.com)のサブドメインである場合は、ワイルドカード証明書を使用できます。これに失敗すると、ブラウザが満足する証明書を提供できないと思います。