<div dir="ltr"><div>рискну предположить, что бест практис "как использовать выданный нами сертификат" можно ожидать от тех, кто сертификат выдал.</div><div>вы же им деньги заплатили, почему бы им не сделать всё по красоте.<br></div><div><br></div><div>по крайней мере я такие рекомендации припоминаю.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пт, 14 мая 2021 г. в 18:22, Andrey Kopeyko <<a href="mailto:andrey@kopeyko.ru">andrey@kopeyko.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">sf2015 писал 2021-05-14 09:38:<br>
> Для домена <a href="http://test.ru" rel="noreferrer" target="_blank">test.ru</a> и всех поддоменов приобретен сеттификат Rapid SSL <br>
> 2018<br>
<br>
Если ваш сертификат допустимо ставить на несколько серверов одновременно <br>
(ищите в договоре "server licences" или аналогичные слова), то можете <br>
просто размножить ключ+серт по нужному кол-ву железок\виртуалок. С <br>
соответствующими рисками для безопасности.<br>
<br>
Если такое вам не разрешено, то<br>
* или раскладывайте ключ+серт на свой страх и риск<br>
* или докупайте опцию "server licences"<br>
* или докупайте нужное кол-во сертификатов для уникальных ключей<br>
<br>
> Имеется:<br>
>  сам сертификат test_ru.crt<br>
>  промежуточный intermediate_pem_geotrust_rapidssl_wildcard_1.crt<br>
>  промежуточный intermediate_pem_geotrust_rapidssl_wildcard_2.crt<br>
>  приватный ключ key.txt<br>
>  корневой сертификат root_pem_geotrust_rapidssl_wildcard_1.crt<br>
>  сертификат test.ru.ca-bundle<br>
> <br>
> Nginx установлен на Ubuntu 20 с IP 192.168.0.43.<br>
> <br>
> общая задача такая. Есть некий вебсервис (https:// <a href="http://t1.test.ru" rel="noreferrer" target="_blank">t1.test.ru</a>), который<br>
> крутится на серваке в локалке с адресом 192.168.0.230.<br>
> <br>
> Сейчас При вводе адреса <a href="https://t1.test.ru" rel="noreferrer" target="_blank">https://t1.test.ru</a> клиент проваливается<br>
> на192.168.0.230.<br>
> Нужна схема с проксированием так, чтобы При вводе адреса <br>
> <a href="https://t1.test.ru" rel="noreferrer" target="_blank">https://t1.test.ru</a><br>
> клиент проваливается на192.168.0.43, а затем перенаправлялся на<br>
> 192.168.0.230<br>
> <br>
> В перспективе будут еще <a href="https://t2.test.ru" rel="noreferrer" target="_blank">https://t2.test.ru</a>, которые пойдут на  <br>
> 192.168.0.232<br>
> и т.п.<br>
> <br>
> <br>
> -----------------<br>
> 1. Подскажите какие как быть с сертификатами. Какие из приведённых выше<br>
> прописать в файле конфигурации.<br>
> <br>
> <br>
> <br>
> <br>
> server {<br>
>     #listen 80;<br>
>        listen 443 ssl default_server;<br>
>        listen [::]:443 ssl default_server;<br>
>       ssl on;<br>
>     ssl_certificate /etc/ssl/<a href="http://test.ru/dcli.ru.ca-bundle" rel="noreferrer" target="_blank">test.ru/dcli.ru.ca-bundle</a>;<br>
>     #ssl_certificate_key /etc/ssl/<a href="http://test.ru/key.txt" rel="noreferrer" target="_blank">test.ru/key.txt</a>;<br>
>     #ssl_session_timeout 5m;<br>
>     #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;<br>
>     #ssl_dhparam /etc/ssl/certs/dhparam.pem;<br>
>     #ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';<br>
>     #ssl_prefer_server_ciphers on;<br>
>     #ssl_session_cache shared:SSL:10m;<br>
>       <br>
>       <br>
>     server_name <a href="http://t1.test.ru" rel="noreferrer" target="_blank">t1.test.ru</a>;<br>
>     access_log /var/log/nginx/access.log;<br>
>     error_log /var/log/nginx/error.log;<br>
> <br>
> location / {<br>
>     proxy_pass <a href="https://192.168.0.230" rel="noreferrer" target="_blank">https://192.168.0.230</a>;<br>
>     }<br>
> }<br>
> <br>
> Posted at Nginx Forum:<br>
> <a href="https://forum.nginx.org/read.php?21,291518,291518#msg-291518" rel="noreferrer" target="_blank">https://forum.nginx.org/read.php?21,291518,291518#msg-291518</a><br>
> <br>
> _______________________________________________<br>
> nginx-ru mailing list<br>
> <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>
<br>
-- <br>
Best regards,<br>
Andrey A. Kopeyko <<a href="mailto:andrey@kopeyko.ru" target="_blank">andrey@kopeyko.ru</a>><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div>