Welcome! Log In Create A New Profile

Advanced

ssl_session_ticket_key and SNI

Anton Yuzhaninov
May 06, 2014 07:48AM
Здравствуйте!

Наблюдаю проблему с таким конфигом:

http {
default_type text/plain;

access_log logs/access.log combined;


server {
server_name example.ru;
listen 443 default;

ssl on;
ssl_certificate example.ru.crt;
ssl_certificate_key example.ru.key;

ssl_session_ticket_key ticket.key;

location / {
return 200 "example.ru\n";
}
}

server {
server_name example.com;
listen 443;

ssl on;
ssl_certificate example.com.crt;
ssl_certificate_key example.com.key;

location / {
return 200 "example.com\n";
}
}
}

Желаемое поведение:
- для example.ru использовать ticket key из файла.
- для example.com (и всех остальных блоков server) использовать случайный
ticket key, генерируемый в nginx при старте.

Что наблюдается:
- Без SNI работает и отдается сертификат example.ru
- Если в SNI указать example.ru - работает и отдается сертификат example.ru
- Если в SNI указать example.com - соединение рвётся с очень неясной диагностикой.
- Если в SNI указать example.com, но отключить tickets на клиенте - работает.

Версии
nginx 1.7.0
OpenSSL 1.0.1g-freebsd 7 Apr 2014

Если убрать ssl_session_ticket_key задавать на уровне http, то всё работает. Но
хочется брать tickets из файла только для одного сервера.

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

ssl_session_ticket_key and SNI

Anton Yuzhaninov May 06, 2014 07:48AM

Re: ssl_session_ticket_key and SNI

Anton Yuzhaninov May 06, 2014 01:20PM

Re: ssl_session_ticket_key and SNI

Maxim Dounin May 09, 2014 02:38AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 330
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready