这个东西可以禁止nginx使用sni嘛？一台服务器只用一个证书 #18

1265578519 · 2019-04-27T08:55:38Z

这个东西可以禁止nginx使用sni嘛？一台服务器只用一个证书

Jemmy1228 · 2019-04-27T09:17:38Z

一台服务器只用一个证书，那么你只配置一个server{...}就可以了。
有多个server{...}对应不同Host的话，那么所有server{...}中设置的ssl_certificate和ssl_certificate_key全部设为那一张证书

这个问题没必要通过patch来解决吧？

1265578519 · 2019-04-27T11:17:10Z

就是起到104.31.113.240的这种效果就行了。。你这方法可以的吧？我刚才试了下不行。

Jemmy1228 · 2019-04-27T11:31:10Z

我没理解你希望达到的目的额…
你是希望 https://<IPAddress> 访问报错，https://<ServerName> 正常访问？
像 https://207.246.127.148 和 https://jemmylovejenny.tk 这样？

就是说，访问域名和证书域名不匹配的时候服务器直接终止连接；匹配的时候正常处理？

1265578519 · 2019-04-27T12:17:55Z

对，就和你发的那个实现效果一样，可以提示这种。防止机房旁路设备出向流量劫持阻断或者跳转。

This site works only in browsers with SNI support.
本网站必须使用SNI支持的浏览器。

Jemmy1228 · 2019-04-27T12:48:00Z

Emmm 这种效果不叫禁用SNI额…应该叫StrictSNI
nginx_strict-sni.patch 和 nginx_strict-sni_1.15.10.patch 这两个patch就是实现你所说效果的
nginx-1.15.10以后的版本用后一个patch

然后使用方法看这里

1265578519 · 2019-04-27T12:51:51Z

emmm 我试试

hakasenyang · 2019-06-24T11:07:06Z

Hello.

If the issue is resolved, please close the issue.

Provide feedback