<div dir="ltr"><div dir="ltr">I use haproxy in a similar way as stated by Rainer, rather than having hundreds and hundreds of config files (yes there are other ways), i have 1 for haproxy and 2(on multiple machines defined in HAProxy). One for my main domain that listens to an "real" server_name and another that listens to `server_name _;`  All of the nginx servers simply listen on 80 and 81 to handle non H2 clients and the application does the correct thing with the domain.  Which is where YMMV as all applications differ.  </div><div dir="ltr"><br></div><div dir="ltr">I found this much simpler and easier to maintain over time.  I got around the LE limits by a staggered migration, so i was only requesting what was in the limit each day, then have a custom script that calls LE (which is also on the same machine as HAProxy) when certs are about 10 days out, so the staggering stays within the limits.  When i was using custom configuration, i was build them via python using a yaml file and nginx would effectively be a jinja2 template.  But even that became onerous.  When going down the nginx path ensure you pay attention to the variables that control domain hash sizes. <a href="http://nginx.org/en/docs/hash.html">http://nginx.org/en/docs/hash.html</a> <div><br></div><div>HTH, good luck!<br>Jeff</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 11, 2019 at 1:58 PM Rainer Duffner <<a href="mailto:rainer@ultra-secure.de">rainer@ultra-secure.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;"><br><div><br><blockquote type="cite"><div>Am 11.02.2019 um 16:16 schrieb rick_pri <<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>>:</div><br class="gmail-m_-6597626323511961655Apple-interchange-newline"><div><span style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none;float:none;display:inline">However, our customers, with about 12000 domain names at present have</span><br style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none"></div></blockquote></div><br><div><br></div><div>Let’s Encrypt rate limits will likely make these very difficult to obtain and also to renew.</div><div><br></div><div>If you own the DNS, maybe using Wildcard DNS entries is more practical.</div><div><br></div><div>Then, HAProxy allows to just drop all the certificates in a directory and let itself figure out the domain-names it has to answer.</div><div>At least, that’s what my co-worker told me.</div><div><br></div><div>Also, there’s the fabio LB with similar goal-posts.</div><div><br></div><div><br></div><div><br></div><div><br></div></div>_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a></blockquote></div>