Nginx: возможный использовать сертификаты SSL от различных полномочий на одном IP-адресе?
Я хотел бы знать, возможно ли иметь два Nginx виртуальные хосты, находящиеся на том же v4 IP-адресе. Я знаю, там существуют SNI, но у меня есть два основных (никакой SAN, никакой подстановочный знак), сертификаты SSL от двух различных Центров сертификации для создания сосуществуют на одном IP-адресе.
В основном достаточно установить два conf файла (один на виртуальный хост) каждый указывающий на его собственный КЛЮЧ и CRT? Или есть ли другие проблемы?
Я попробовал бы его решение один, если я мог, но АВАРИЯ хочет деньги для сертификатов, и я заказал бы второй сертификат, только если я абсолютно уверен, что могу заставить его работать. N.B. Я не куплю второй сертификат у первого CA, их поддержка была плачевна, и я хочу оставить их.
Сертификаты от разных центров сертификации не являются проблемой, пока клиенты доверяют этим центрам сертификации.
Обслуживание нескольких сайтов с разными сертификатами на одном IP, независимо от того, какие центры сертификации подписали сертификаты, это то, что имеет некоторые ограничения с точки зрения совместимости.
Поддержка нескольких сертификатов на одном IP вообще требует поддержки расширения TLS, называемого указанием имени сервера (SNI), как на стороне сервера, так и на стороне клиента. Это не проблема, если вы имеете дело с современными браузерами, но может быть проблемой, если вам приходится иметь дело с устаревшим клиентским программным обеспечением.
В статье Википедии о SNI есть не-исчерпывающий список несовместимого программного обеспечения с основными моментами, такими как Internet Explorer в Windows XP, браузер по умолчанию в Android 2.x, Java до версии 1.7 и т. д.
Единственная проблема - совместимость с клиентом, некоторые очень старые комбинации браузера и ОС не будут работать, особенно Windows XP / IE8. Все остальное (Chrome, Opera, Firefox и т. Д.) В Windows XP будет работать.
Вам не нужно ничего покупать, подписывайте один из сертификатов (или все) самостоятельно. Подписывающий ЦС не имеет значения на стороне сервера, только на клиенте, и если вы импортируете свой ЦС в браузер, он будет вести себя точно так же, как если бы они были подписаны платным ЦС.