Я купил два сертификата PositiveSSL (отдельно), один для manager.domain.com и другой для domain.com. Изначально мне нужен был только manager.domain.com с SSL, но затем мне нужно было использовать SSL на domain.com. Все работает отлично с одним сертификатом SSL для domain.manager.com, но когда я добавляю данные второго сертификата в файл .pem, domain.com пытается выполнить проверку с использованием сертификата domain.com, и это не работает. Как мне иметь два сертификата ssl, использующих один и тот же экземпляр stunnel? Я забавляюсь nginx, и Varnish тоже, если это полезно.
Вот файл конфигурации stunnel и формат моего pem-файла. Примечание - это будет работать нормально для domain.manager.com (который является первым сертификатом).
cert = /etc/ssl/all.pem
debug = 5
output = /var/log/stunnel4/stunnel.log
[https]
accept = 443
connect = 80
И формат для all.pem. Первый сертификат для manager.domain.com (который работает), а второй для domain.com, который не работает. (Закрытый ключ был сгенерирован с помощью manager.domain.com):
-----BEGIN PRIVATE KEY-----
MIIEvwIBADANBgkahkiG9w0BAQEFAASCBKkwggSl444AAoIBAQDz/pbylQ5Ci6ji
END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw
-----END CERTIFICATE-----
Я также пробовал разделить сертификаты и поместить их в CApath.
CApath = /etc/stunnel/certs/
debug = 5
output = /var/log/stunnel4/stunnel.log
[https]
accept = 443
connect = 80
Я использую команды
openssl x509 -hash -noout -in domain.pem
openssl x509 -hash -noout -in manager.domain.pem
для создания файлов для размещения в каталоге /etc/stunnel/certs/. Но stunnel выдает следующую ошибку при попытке перезапуска:
Restarting SSL tunnels: No limit detected for the number of clients
signal_pipe: FD=3 allocated (non-blocking mode)
signal_pipe: FD=4 allocated (non-blocking mode)
stunnel 4.42 on i686-pc-linux-gnu platform
Compiled with OpenSSL 1.0.0e 6 Sep 2011
Running with OpenSSL 1.0.1 14 Mar 2012
Update OpenSSL shared libraries or rebuild stunnel
Threading:PTHREAD SSL:ENGINE Auth:LIBWRAP Sockets:POLL,IPv6
Reading configuration from file /etc/stunnel/https.conf
PRNG seeded successfully
Line 8: End of section https: SSL server needs a certificate
str_stats: 53 block(s), 3974 byte(s)
[Failed: /etc/stunnel/https.conf]
You should check that you have specified the pid= in you configuration file
Файлы, предоставленные мне для manager.domain.com, следующие:
Root CA Certificate - AddTrustExternalCARoot.crt
Intermediate CA Certificate - PositiveSSLCA2.crt
Your PositiveSSL Certificate - manager_domain_com.crt
и то же самое для domain.com.
Может ли кто-нибудь мне помочь с этим?
решение1
Вам необходимо использовать TLS SNI, чтобы иметь возможность представить два разных сертификата на одном и том же порту прослушивания. Имейте в виду, что некоторые клиенты, в частности большинство браузеров, работающих под управлением Windows XP, не поддерживают SNI.
Смотрите sniопцию в документации. Разделите ваши сертификаты на разные файлы (для обоих открытых сертификатов используется один и тот же закрытый ключ):
[https]
cert = /etc/ssl/domain.com.pem
accept = 443
connect = 80
[domain]
sni = https:domain.com
sni = https:www.domain.com
cert = /etc/ssl/domain.com.pem
connect = 80
[manager]
sni = https:manager.domain.com
cert = /etc/ssl/manager.domain.com.pem
connect = 80