Nginx 和 https - 将 IP 地址指定为 server_name 会提供正确的网站,但提供错误的证书

Nginx 和 https - 将 IP 地址指定为 server_name 会提供正确的网站,但提供错误的证书

我想要运行这个 URL:https://192.168.1.254并在地址栏中获取具有正确内容和证书的网站。我获取了该网站,但在地址栏中收到无效证书错误,因为证书取自不同的服务器块:默认服务器块000-默认.conf

有人可以向我解释一下这种行为吗?

我的客户端浏览器是 Google Chrome 版本 87.0.4280.88(官方版本)(64 位)

我的 Nginx 服务器是:

root@OpenWrt:/etc/nginx/conf.d# nginx -V
nginx version: nginx/1.19.4 (x86_64-pc-linux-gnu)
built with OpenSSL 1.1.1h  22 Sep 2020
TLS SNI support enabled

我认为这个问题与 SNI 显然不允许文字 IPv4 和 IPv6 地址作为“主机名”。但事实真是如此吗?

我有一个默认服务器块000-默认.conf像这样:

server {
    server_name _;
    listen 80 default_server;
    listen 443 ssl default_server;

    ## To also support IPv6, uncomment this block
    # listen [::]:80 default_server;
    # listen [::]:443 ssl default_server;

    ssl_certificate '/etc/nginx/conf.d/_lan.crt';
    ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
    return 404; # or whatever
}

另一个名为 luci-http.conf 的服务器如下所示:

server {
        listen 80;
        listen [::]:80;
        server_name openwrt.lan 192.168.1.254;
        # access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
        include conf.d/*.locations;
}

当我放http://192.168.1.254在地址栏中,它为我提供了正确的网页。

我也有这个 https 服务器: luci-https.conf

server {
        listen 443 ssl;
        listen [::]:443 ssl;

        server_name openwrt.lan 192.168.1.254;
        #include '/var/lib/nginx/lan_ssl.listen.default';
        ssl_certificate '/etc/nginx/conf.d/_lan.crt';
        ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
        ssl_session_cache 'shared:SSL:32k';
        ssl_session_timeout '64m';
        # access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
        include conf.d/*.locations;
}

当我放https://192.168.1.254在地址栏中,它为我提供了正确的网页和证书_lan.crt。如您所见,我在此服务器块和默认服务器块中拥有相同的证书/密钥对。

但是当我从中删除该 IP 地址作为服务器名称时luci-https.conf并将其作为 server_name 添加在:我的站点.lan.conf我没有看到同样的行为。

server {
        listen 443 ssl;
        listen [::]:443 ssl;
        #listen 192.168.1.254 ssl;
        #include '/var/lib/nginx/lan_ssl.listen';

        server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;

        root /www/mysite;
        index index.html index.htm index.nginx-debian.html;

        ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
        ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';
        ssl_session_cache 'shared:SSL:32k';
        ssl_session_timeout '64m';

        location / {
                try_files $uri $uri/ =404;
        }

        access_log /var/log/nginx/mysite.lan.access.log;
        error_log /var/log/nginx/mysite.lan.error.log;
}

现在当我把https://192.168.1.254在地址栏中,它为我提供了正确的网页,但证书再次_lan.crt不是证书:我的站点.lan.crt我的站点.lan.conf正如预期的那样。

当我放..

ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';

在默认服务器块中000-默认.conf然后当我把https://192.168.1.254在浏览器地址栏中,是否将 192.168.1.254 指定为 server_nameluci-https.conf或者我的站点.lan.conf

因此,看起来 SNI 会匹配 IP 地址形式的“主机名”,但它会从默认服务器块获取证书。这是为什么呢?

答案1

... SNI 显然不允许将文字 IPv4 和 IPv6 地址作为“主机名”。但事实真是如此吗?

SNI 背后的想法是区分同一 IP 地址上的多个域。到目前为止,将 SNI 与 IP 地址一起使用并没有实际意义。因此,它也仅限于实际的主机名。引用自RFC 6066

“HostName”包含完全限定的DNS 主机名服务器的,正如客户端所理解的。...... “HostName” 中不允许使用文字 IPv4 和 IPv6 地址

    server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;

...
所以看起来 SNI 将匹配一个 IP 地址的“主机名”,但它从默认服务器块中获取证书。

由于 SNI 仅用于实际主机名,因此 TLS 握手中不会有 SNI,因此将使用默认的 HTTPS 配置。HTTPS 内部有 HTTP 协议,其中包含标Host头。由于Host标头指定了 IP 地址(因为 URL 指定了 IP 地址),因此它将与此特定虚拟主机匹配。因此:证书错误,内容正确。

相关内容