Если сертификат один для всех, то stunnel конфиг будет один, если разные
то опять же один stunnel и адских размеров конфиг. Если для каждого
сайта свой сертификат, он должен быть пописан в конфиге nginx. Т.е. в
любом случае все превращается в ночной кошмар.
"Научить админку" - верный вариант, никакого layering violation нет.
Здравый смысл violation решать вебсервером не свойственные ему задачи.
Плюс, подумайте о ресурсах. Если админка научится ходить по https - то
это одно соединение, если ходит через nginx то как минимум два. Если
через nginx - то как минимум nginx должен держать все ваши сотни
сертификатов впамяти, или грузить их по необходимости, зная какой где и
зачем. Это полный overkill. Самый врный вариант работы с удалнными
сервисами с защитой соединения это VPN, Вы подумайте сами во что
превращается каждый вызов по https в Вашем случае, один хендшейк будет
стоит как сотни плейн вызовов.

ЗЫ
Сорри за оффтоп.

On 23.01.14, 15:08, Gena Makhomed wrote:
> Вместо того, чтобы для каждого сайта создавать свою админку,
> цеплять к ней SSL-сертификат, - проще и удобнее сделать всего
> одну админку, куда будут заходить пользователи по https,
> и там они смогут управлять своими сайтами. А сами сайты:
>
> www.example.com - сюда ходят пользователи сайта
> api.example.com - сюда ходит админка с Mutual authentication
>
> Сейчас - сайтов десятки, потом может быть сотни и тысячи.
> И что делать, настраивать и поддерживать в живом состоянии
> сотни и тысячи stunnel`ей? Каждому выделяя свой отдельный
> порт на стороне контейнера с админкой? Это будет nightmare.
> Практически это нереальный вариант. Наверное придется таки
> идти на layering violation и обучать админку делать https-
> запросы с предъявлением клиентского сертификата через curl.

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru