我想運行這個網址:https://192.168.1.254並在網址列中取得具有正確內容和證書的網站。我正在獲取該網站,但地址欄中出現無效證書錯誤,因為證書是從不同的伺服器區塊獲取的:預設伺服器區塊000-預設.conf。
有人可以跟我解釋這種行為嗎?
我的客戶瀏覽器是 Google Chrome 版本 87.0.4280.88(官方版本)(64 位元)
我的 Nginx 伺服器是:
root@OpenWrt:/etc/nginx/conf.d# nginx -V
nginx version: nginx/1.19.4 (x86_64-pc-linux-gnu)
built with OpenSSL 1.1.1h 22 Sep 2020
TLS SNI support enabled
我認為這個問題與 SNI 顯然不允許a 字面量 IPv4 和 IPv6 位址作為“主機名稱”。但事實真的是這樣嗎?
我有一個預設伺服器塊000-預設.conf像這樣:
server {
server_name _;
listen 80 default_server;
listen 443 ssl default_server;
## To also support IPv6, uncomment this block
# listen [::]:80 default_server;
# listen [::]:443 ssl default_server;
ssl_certificate '/etc/nginx/conf.d/_lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
return 404; # or whatever
}
另一個名為 luci-http.conf 的伺服器如下:
server {
listen 80;
listen [::]:80;
server_name openwrt.lan 192.168.1.254;
# access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
include conf.d/*.locations;
}
當我把http://192.168.1.254在網址列中,它為我提供了正確的網頁。
我也有這個 https 伺服器: luci-https.conf
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name openwrt.lan 192.168.1.254;
#include '/var/lib/nginx/lan_ssl.listen.default';
ssl_certificate '/etc/nginx/conf.d/_lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
ssl_session_cache 'shared:SSL:32k';
ssl_session_timeout '64m';
# access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
include conf.d/*.locations;
}
當我把https://192.168.1.254在地址欄中,它為我提供了正確的網頁和證書_lan.crt。正如您所看到的,我在此和預設伺服器區塊中具有相同的憑證/金鑰對。
但是,當我從中刪除該 IP 位址作為 server_name 時luci-https.conf並將其新增為 server_name :mysite.lan.conf我沒有看到相同的行為。
server {
listen 443 ssl;
listen [::]:443 ssl;
#listen 192.168.1.254 ssl;
#include '/var/lib/nginx/lan_ssl.listen';
server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;
root /www/mysite;
index index.html index.htm index.nginx-debian.html;
ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';
ssl_session_cache 'shared:SSL:32k';
ssl_session_timeout '64m';
location / {
try_files $uri $uri/ =404;
}
access_log /var/log/nginx/mysite.lan.access.log;
error_log /var/log/nginx/mysite.lan.error.log;
}
現在當我把https://192.168.1.254在地址欄中,它為我提供了正確的網頁,但再次顯示了證書_lan.crt不是證書:mysite.lan.crt從mysite.lan.conf正如預期的那樣。
當我放..
ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';
在預設伺服器區塊中000-預設.conf然後當我輸入時我會得到該證書https://192.168.1.254在瀏覽器網址列中是否將 192.168.1.254 指定為 server_nameluci-https.conf或者mysite.lan.conf。
因此,SNI 似乎會匹配 IP 位址的“主機名稱”,但它會從預設伺服器區塊取得憑證。這是為什麼?
答案1
... SNI 顯然不允許將文字 IPv4 和 IPv6 位址作為「主機名稱」。但事實真的是這樣嗎?
SNI 背後的想法是區分同一 IP 位址上的多個網域。到目前為止,將 SNI 與 IP 位址一起使用並沒有真正的意義。因此它也僅限於實際的主機名稱。引用自RFC 6066:
「HostName」包含完全限定的DNS 主機名稱伺服器的,如客戶端所理解的。 … 「主機名稱」中不允許使用文字 IPv4 和 IPv6 位址
server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;……
因此,SNI 似乎會匹配作為 IP 位址的“主機名稱”,但它會從預設伺服器區塊取得憑證。
由於 SNI 僅用於實際主機名,因此 TLS 握手中不會有 SNI,因此使用預設的 HTTPS 配置。 HTTPS 內部有 HTTP 協議,但其中包含Host標頭。由於Host標頭指定了 IP 位址(因為 URL 也指定了),因此它將匹配該特定的虛擬主機。因此:證書錯誤,內容正確。