рискну предположить, что бест практис "как использовать выданный нами
сертификат" можно ожидать от тех, кто сертификат выдал.
вы же им деньги заплатили, почему бы им не сделать всё по красоте.

по крайней мере я такие рекомендации припоминаю.

пт, 14 мая 2021 г. в 18:22, Andrey Kopeyko <andrey@kopeyko.ru>:

> sf2015 писал 2021-05-14 09:38:
> > Для домена test.ru и всех поддоменов приобретен сеттификат Rapid SSL
> > 2018
>
> Если ваш сертификат допустимо ставить на несколько серверов одновременно
> (ищите в договоре "server licences" или аналогичные слова), то можете
> просто размножить ключ+серт по нужному кол-ву железок\виртуалок. С
> соответствующими рисками для безопасности.
>
> Если такое вам не разрешено, то
> * или раскладывайте ключ+серт на свой страх и риск
> * или докупайте опцию "server licences"
> * или докупайте нужное кол-во сертификатов для уникальных ключей
>
> > Имеется:
> > сам сертификат test_ru.crt
> > промежуточный intermediate_pem_geotrust_rapidssl_wildcard_1.crt
> > промежуточный intermediate_pem_geotrust_rapidssl_wildcard_2.crt
> > приватный ключ key.txt
> > корневой сертификат root_pem_geotrust_rapidssl_wildcard_1.crt
> > сертификат test.ru.ca-bundle
> >
> > Nginx установлен на Ubuntu 20 с IP 192.168.0.43.
> >
> > общая задача такая. Есть некий вебсервис (https:// t1.test.ru), который
> > крутится на серваке в локалке с адресом 192.168.0.230.
> >
> > Сейчас При вводе адреса https://t1.test.ru клиент проваливается
> > на192.168.0.230.
> > Нужна схема с проксированием так, чтобы При вводе адреса
> > https://t1.test.ru
> > клиент проваливается на192.168.0.43, а затем перенаправлялся на
> > 192.168.0.230
> >
> > В перспективе будут еще https://t2.test.ru, которые пойдут на
> > 192.168.0.232
> > и т.п.
> >
> >
> > -----------------
> > 1. Подскажите какие как быть с сертификатами. Какие из приведённых выше
> > прописать в файле конфигурации.
> >
> >
> >
> >
> > server {
> > #listen 80;
> > listen 443 ssl default_server;
> > listen [::]:443 ssl default_server;
> > ssl on;
> > ssl_certificate /etc/ssl/test.ru/dcli.ru.ca-bundle;
> > #ssl_certificate_key /etc/ssl/test.ru/key.txt;
> > #ssl_session_timeout 5m;
> > #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> > #ssl_dhparam /etc/ssl/certs/dhparam.pem;
> > #ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
> > #ssl_prefer_server_ciphers on;
> > #ssl_session_cache shared:SSL:10m;
> >
> >
> > server_name t1.test.ru;
> > access_log /var/log/nginx/access.log;
> > error_log /var/log/nginx/error.log;
> >
> > location / {
> > proxy_pass https://192.168.0.230;
> > }
> > }
> >
> > Posted at Nginx Forum:
> > https://forum.nginx.org/read.php?21,291518,291518#msg-291518
> >
> > _______________________________________________
> > nginx-ru mailing list
> > nginx-ru@nginx.org
> > http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> --
> Best regards,
> Andrey A. Kopeyko <andrey@kopeyko.ru>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru