nginx и ssl

1nsk.ru info at 1nsk.ru
Fri Jan 26 22:58:38 MSK 2007


Здравствуйте.

nginx используется как прокси-сервер по отдаче статики, для одного из
виртуальных серверов хочется использовать ssl как доп. способ уберечь
улетающие данные от перехвата.

1) Собираю nginx 0.5.10 с --with-http_ssl_module
2) Создаю сертификат
openssl req -new -x509 -newkey rsa:1024 -days 365 -keyout /tmp/nginx.pem
-out /etc/nginx/cert.key
подписываю
openssl rsa -in /tmp/nginx.pem -out /etc/nginx/cert.pem

3) конфиг
server {
        listen               домен.ru:443;
        keepalive_timeout    70;
        ssl                  on;
        ssl_certificate      /etc/nginx/cert.pem;
       ssl_certificate_key  /etc/nginx/cert.key;
        ssl_session_cache    shared:SSL:10m;
        ssl_session_timeout  10m;

location / {
proxy_pass        http://домен.ru:81/;
proxy_set_header  Host        $host;
proxy_set_header  X-Real-IP  $remote_addr;
proxy_set_header  X-Forwarded-For       $proxy_add_x_forwarded_for;
}

.. левая фигня

}

после перезапуска nginx забинден на 443

но не пашет в браузере http://домен :(

пробую понять причину
4) curl -I https://домен
curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
protocol
запрашиваю сертификат
openssl s_client -connect домен.ru:443 -showcerts
ругается
CONNECTED(00000004)
8297:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
protocol:s23_clnt.c:478:

что судя по гуглу не может подключить сертификат, что делаю не так?

p.s. апачевский не хочу использовать модуль, зачем апач если nginx умеет
то-же самое.

p.p.s. Абстрактный вопрос, стоит-ли покупать у goddady Turbo SSL
сертификат за 17$, или это все от лукавого? Или стоит того чтобы не
ругались браузеры и почтовые клиенты на самоподписанный?

-- 
С уважением, Денис





More information about the nginx-ru mailing list