Укажите субдомен на отдельный IP-адрес, используя DNS/nginx

Question

Укажите субдомен на отдельный IP-адрес, используя DNS/nginx

Я пытаюсь указать поддомен на другой IP-адрес на другом сервере, но по какой-то причине он работает только один раз в некоторое время (скажем, 1 из 20 раз). При переходе по адресу http // galera.domain.com выдается ошибка "потребовалось много времени, чтобы ответить" и изменяется URL-адрес на https // galera.domain.com. Просмотр напрямую по IP-адресу работает нормально все время.

Вот мои текущие настройки:

Сервер 1 (nginx):
IP_ADDRESS_1.
HSTS включен [Строгая транспортная безопасность (max-age=63072000; includeSubdomains)]
DNS для domain.com / www.domain.com указывает на IP_ADDRESS_1

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name domain.com www.domain.com;
    return 301 https://$server_name$request_uri;
}

server {

    # SSL configuration
    listen 443 ssl http2 default_server;
    listen [::]:443 ssl http2 default_server;
    include snippets/ssl-domain.com.conf;
    include snippets/ssl-params.conf;

    root /var/www/html;

    index index.php index.html index.htm index.nginx-debian.html;

    server_name domain.com;

    location / {
            try_files $uri $uri/ =404;
    }


    location ~ \.php$ {
            include snippets/fastcgi-php.conf;
            fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /\.ht {
            deny all;
    }

}

Вот файл /etc/nginx/snippets/ssl-params.conf Сервера 1:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Сервер 2 (кластер galera #1 с phpmyadmin, работающим на apache):
IP_ADDRESS_2
DNS для galera.domain.com указывает на IP_ADDRESS_2

<VirtualHost *:80>

    ServerAdmin me@domain.com
    ServerName galera.domain.com
    DocumentRoot /usr/share/phpmyadmin

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Надеюсь, что вы все можете помочь пролить свет на эту наиболее вероятную простую проблему.

изменить: HSTS [Строгая транспортная безопасность (max-age=63072000; includeSubdomains)] включен на domain.com

редактировать 2: добавлен код для /etc/nginx/snippets/ssl-params.conf

редактировать 3: решено. HSTS препятствовал загрузке небезопасного контента с субдомена. исправлено путем установки сертификата SSL на galera.domain.com с использованием тех же протоколов (включая HSTS), которые используются domain.com

0

nginx ssl subdomain hsts

Источник

iisor 12 мар '17 в 03:27

1 ответ

Другие вопросы по тегам nginx ssl subdomain hsts

David Schwartz 12 мар '17 в 22:04 2017-03-12 22:04 · Answer 1 · 2017-03-12 22:04

Вам необходимо координировать свою деятельность с тем, кто устанавливает политику безопасности домена. Этот домен решил использовать строгую транспортную безопасность, и вы не должны были даже создавать поддомен для использования веб-сервера, пока вы не согласовали.