我有一个server块,我想为其提供两种证书:一个是 ECC,另一个是 RSA。ECC 证书是因为对于某些客户端来说,ECDSA 是 TLS 1.2 中唯一可行的选择(并且它们不支持 1.3)。RSA 证书是为了实现跨系统最广泛的兼容性。如果也能提供 EdDSA 以提高速度就更好了,但这不是必需的。
每一个服务器可以提供多个 TLS 证书吗?它是可能的——但我不知道是否可以这样做nginx。
我愿意不是意味着我想要为每个 DNS 名称或每个端口或类似的东西提供不同的证书——我希望差异基于客户端的功能。
我使用 nginx 作为 TLS 终止反向代理。我可以灵活地升级我的 nginx 版本并安装插件。虽然我需要支持某些旧系统,但它们都支持 TLS 1.2+,并且都支持至少一个仍然强大的密码套件。
答案1
您只需输入多个指令即可指定多种证书类型,如下所示:
ssl_certificate /path/to/rsa_cert;
ssl_certificate_key /path/to/rsa_key;
ssl_certificate /path/to/ecc_cert;
ssl_certificate_key /path/to/ecc_key;