Вопросы Теги

Укажите субдомен на отдельный IP-адрес с помощью DNS / nginx

Я пытаюсь указать субдомену на другой IP-адрес на другом сервере, но по какой-то причине он работает только время от времени (скажем, 1 из 20 раз). При переходе к http // galera.domain.com выдается ошибка «потребовалось слишком много времени для ответа» и изменяется URL-адрес на https // galera.domain.com. Прямой просмотр IP-адреса всегда работает нормально. IP_ADDRESS_1.
HSTS включен [Strict Transport Security (max-age = 63072000; includeSubdomains)]
DNS для domain.com / www.domain.com указывает на IP_ADDRESS_1 

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name domain.com www.domain.com;
    return 301 https://$server_name$request_uri;
}

server {

    # SSL configuration
    listen 443 ssl http2 default_server;
    listen [::]:443 ssl http2 default_server;
    include snippets/ssl-domain.com.conf;
    include snippets/ssl-params.conf;

    root /var/www/html;

    index index.php index.html index.htm index.nginx-debian.html;

    server_name domain.com;

    location / {
            try_files $uri $uri/ =404;
    }


    location ~ \.php$ {
            include snippets/fastcgi-php.conf;
            fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /\.ht {
            deny all;
    }

}

Вот файл /etc/nginx/snippets/ssl-params.conf Сервера 1: 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Сервер 2 (кластер Galera №1 с phpmyadmin, работающим на apache ):
IP_ADDRESS_2
DNS для galera.domain.com указывает на IP_ADDRESS_2 

<VirtualHost *:80>

    ServerAdmin me@domain.com
    ServerName galera.domain.com
    DocumentRoot /usr/share/phpmyadmin

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Надеюсь, вы все поможете пролить свет на эту, скорее всего, простую проблему.

редактировать: HSTS [Strict Transport Security (max-age = 63072000; includeSubdomains)] включен на domain.com

редактировать 2: добавлен код для /etc/nginx/snippets/ssl-params.conf

edit 3: РЕШЕНО. HSTS предотвращал загрузку небезопасного содержимого из поддомена. исправлено установкой SSL-сертификата на galera.domain.com с использованием тех же протоколов (включая HSTS), что и domain.com

0
задан 13 March 2017 в 03:26
1 ответ

Вам нужно согласовать с тем, кто устанавливает политику безопасности домена. Этот домен решил использовать строгую транспортную безопасность, и вам не должно было быть позволено даже создавать субдомен для использования веб сервера до тех пор, пока вы не координировали.

.
1
ответ дан 4 December 2019 в 16:20

Теги

Похожие вопросы