nginx и ssl

Igor Sysoev is at rambler-co.ru
Fri Jan 26 23:23:08 MSK 2007


On Sat, 27 Jan 2007, 1nsk.ru wrote:

> nginx используется как прокси-сервер по отдаче статики, для одного из
> виртуальных серверов хочется использовать ssl как доп. способ уберечь
> улетающие данные от перехвата.
>
> 1) Собираю nginx 0.5.10 с --with-http_ssl_module
> 2) Создаю сертификат
> openssl req -new -x509 -newkey rsa:1024 -days 365 -keyout /tmp/nginx.pem
> -out /etc/nginx/cert.key
> подписываю
> openssl rsa -in /tmp/nginx.pem -out /etc/nginx/cert.pem
>
> 3) конфиг
> server {
>        listen               домен.ru:443;
>        keepalive_timeout    70;
>        ssl                  on;
>        ssl_certificate      /etc/nginx/cert.pem;
>       ssl_certificate_key  /etc/nginx/cert.key;
>        ssl_session_cache    shared:SSL:10m;
>        ssl_session_timeout  10m;
>
> location / {
> proxy_pass        http://домен.ru:81/;
> proxy_set_header  Host        $host;
> proxy_set_header  X-Real-IP  $remote_addr;
> proxy_set_header  X-Forwarded-For       $proxy_add_x_forwarded_for;
> }
>
> .. левая фигня
>
> }
>
> после перезапуска nginx забинден на 443
>
> но не пашет в браузере http://домен :(
>
> пробую понять причину
> 4) curl -I https://домен
> curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
> protocol
> запрашиваю сертификат
> openssl s_client -connect домен.ru:443 -showcerts
> ругается
> CONNECTED(00000004)
> 8297:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
> protocol:s23_clnt.c:478:
>
> что судя по гуглу не может подключить сертификат, что делаю не так?

Есть что-нибудь в error_log ?

> p.s. апачевский не хочу использовать модуль, зачем апач если nginx умеет
> то-же самое.
>
> p.p.s. Абстрактный вопрос, стоит-ли покупать у goddady Turbo SSL
> сертификат за 17$, или это все от лукавого? Или стоит того чтобы не
> ругались браузеры и почтовые клиенты на самоподписанный?

Зависит от того, критично, чтобы ругались, или нет.
На webmoney, например, браузеры ругаются, но люди пользуются.


Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list