¿Es posible que cada dominio use varios certificados ssl? Cuando busco en Google para esto, el resultado principal es un artículo sobre cómo tener dos certificados ssl para dos dominios, pero cada dominio está vinculado a uno ssl_certificate. ¿Hay alguna forma de vincular cada uno a varios certificados? La forma en que me gustaría que funcionara es probar con el primer certificado ssl y, si falla, intentar con el segundo, y si eso no funcionó, recurrir a otras opciones. Intentamos esto usando técnicas del artículo, pero cuando lo hicimos, nginx nos dio esta advertencia:

2016/12/30 20:31:41 [warn] 186#186: conflicting server name "domain1" on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name "domain1" on 0.0.0.0:443, ignored
2016/12/30 20:31:41 [warn] 186#186: conflicting server name "domain2" on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name "domain2" on 0.0.0.0:443, ignored

Por qué queremos hacer esto? El ssl_certificate se refiere a un archivo que permite el acceso a un dominio entrante, y también queremos que nginx permita el acceso desde otro dominio. No sé mucho sobre SSL / Certificados. ¿Existe una manera fácil de modificar ssl_certificate para permitir múltiples dominios? Esa sería una solución alternativa a este problema.

0
Daniel Kaplan 31 dic. 2016 a las 00:57
Edité mi pregunta. Después de volver a leerlo, no creo que haya quedado claro. ¿Sigue vigente su respuesta?
 – 
Daniel Kaplan
31 dic. 2016 a las 01:12

1 respuesta

La mejor respuesta

Solo hay un certificado de hoja única servido dentro del protocolo de enlace TLS. Si la validación de este certificado falla, el protocolo de enlace fallará. Si bien muchos navegadores volverán a intentarlo con una versión de TLS de protocolo inferior como respaldo contra servidores dañados, esto no está diseñado para servir certificados diferentes. Aparte de eso, casi ninguna implementación de TLS fuera de los navegadores implementa esta alternativa.

Por lo tanto, los servidores no admiten el servicio de varios certificados hoja dentro de una única configuración de host. Por lo general, admiten tener diferentes certificados para diferentes subdominios y también es posible tener diferentes servidores para el mismo dominio usando diferentes certificados (es decir, diferentes direcciones IP o puertos). También es posible en los servidores más nuevos que una única configuración permita certificados RSA y ECC (es decir, autenticación ECDSA), pero en este caso el servidor simplemente seleccionará el certificado relevante en función de los cifrados que admite el cliente y seguirá enviando solo un certificado de hoja única. .

1
Steffen Ullrich 31 dic. 2016 a las 01:19
La firma de un certificado se refiere únicamente a la parte web de confianza. De esta manera, es posible tener diferentes certificados para un nombre de dominio de diferentes autoridades de certificación (oficiales). Sin embargo, el hecho importante es que para cada conexión solo se puede usar un certificado para el cifrado TLS, como mencionó.
 – 
Oliver Hader
31 dic. 2016 a las 01:25
OK, gracias por la respuesta. ¿Qué pasa con esto? ¿Podría tener un ssl_certificate que maneje dos dominios?
 – 
Daniel Kaplan
31 dic. 2016 a las 01:28