NGINX accès sous domaine impossible

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

NGINX accès sous domaine impossible

BBO

Bonjour,

J'ai un serveur NGINX et je veux pouvoir l'utiliser via deux sous domaines différents:
save.cloud.whita.net
nuage.whita.net

chaque sous-domaine aura un ou plusieurs sites indépendant.

Aujourd'hui ma conf doit avoir un problème: les certificats entre les domaines se mélangent.
lorsque j'essaye d'acceder à save.cloud.whita.net je me retrouve avec une erreur de sécurité car le certificat affiché est celui du sous domaine nuage.whita.net.

Je n'arrive pas a voir mon erreur de configuration.
ll /etc/nginx/sites-enabled
total 8 drwxr-xr-x 2 root root 4096 Feb 28 15:15 . drwxr-xr-x 8 root root 4096 Feb 28 10:46 .. lrwxrwxrwx 1 root root 47 Feb 28 15:14 nuage.whita.net.conf -> /etc/nginx/sites-available/nuage.whita.net.conf lrwxrwxrwx 1 root root 52 Feb 28 15:15 save.cloud.whita.net.conf -> /etc/nginx/sites-available/save.cloud.whita.net.conf

fichier nuage.whita.net.conf

upstream php-handler {
    server                        unix:/run/php/nextcloud.sock;
}

server {
    listen                        80;
    listen                        [::]:80;
    server_name             nuage.whita.net ;
    return                        301 https://$server_name$request_uri;
}

server {
    listen                        443 ssl http2;
    listen                        [::]:443 ssl http2;
    server_name            nuage.whita.net;

    root                          /var/www/nextcloud/;

    ssl                           on;
    ssl_certificate               /etc/letsencrypt/live/nuage.whita.net/fullchain.pem;
    ssl_certificate_key           /etc/letsencrypt/live/nuage.whita.net/privkey.pem;
    ssl_trusted_certificate       /etc/letsencrypt/live/nuage.whita.net/chain.pem;
    ssl_dhparam                   /etc/ssl/certs/dhparam.pem;

    ssl_protocols                 TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers                   'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP$
    ssl_prefer_server_ciphers     on;
    ssl_stapling                  on;
    ssl_stapling_verify           on;

    add_header                    X-Content-Type-Options nosniff;
    add_header                    X-XSS-Protection "1; mode=block";
    add_header                    X-Robots-Tag none;
    add_header                    X-Download-Options noopen;
    add_header                    X-Permitted-Cross-Domain-Policies none;
    add_header                    Strict-Transport-Security 'max-age=31536000; includeSubDomains;';

    location = /robots.txt {
        allow                     all;
        log_not_found             off;
        access_log                off;
    }

    location = /.well-known/carddav {
      return                      301 $scheme://$host/remote.php/dav;
    }
}

fichier save.cloud.whita.net.conf

server {
listen 80;
listen [::]:80;
server_name save.cloud.whita.net;
include /etc/nginx/snippets/letsencrypt.conf;
location / {
return 301 https://$server_name$request_uri;
}
}

server {
server_name save.cloud.whita.net;
listen 443;
ssl on;
ssl_certificate /etc/letsencrypt/live/save.cloud.whita.net/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/save.cloud.whita.net/privkey.pem;
include snippets/ssl-params.conf;
access_log off;
error_log off;
location /RequestDenied {
return 418;
}
root /var/www/html;

location /munin/ {
auth_basic "Administrator Login";
auth_basic_user_file /var/www/.htpasswd;
root /var/www;
}

fichier letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
allow all;
root /var/www/html;
}

fichier ssl-params.conf

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Désolé pour la grandeur du message. J'ai mis une partie de ma conf en espérant que quelqu'un trouve mon erreur... Si vous avez besoin de plus d'éléments, n'hésitez pas.

Merci par avance pour votre aide,

BBO

Rathorian

BBO J'avoue avoir peu de motivation à lire, étant donné que ton code est mal formaté dans des balises code.

Mais juste par hasard, pourquoi ne pas utiliser un seul certificat, en créant un certificat Wildcard, ce serait tellement plus simple à gérer avec tes multiples sous-domaine....

Tu as différent tuto sur mondedié, notamment :

Après, il faut juste ajusté par rapport à ta configuration

BBO

Merci pour ta réponse. J'ai réussit a remettre en forme mon sujet.

Concernant ton idée, ce n'est pas le plus simple a faire. Mon domaine est hébergé sur une autre serveur qui gère déjà (sans soucis) plusieurs sous domaines associés à whita.net.

BBO

MattProd

Il m'est arrivé d'avoir des soucis comme ça : la cause IPv6.
Essaye en commentant les lignes :

listen                        [::]:80;
listen                        [::]:443 ssl http2;

Si ça viens de là il faut que tu revois les enregistrements DNS.

BBO

MattProd Merci beaucoup!!!

Si je comprend bien par contre mes sites ne seront plus accessible en IPv6... c'est bien dommage. quelqu'un a t'il une idée pour remédier a cela?

MattProd

BBO ça marche ?
Si c'est le cas, j'avais corriger en enlevant les CNAME.

cloud.ndd.com. IN CNAME nomduhost
cloud.ndd.com. IN AAAA ipv6

cloud.ndd.com. IN A ipv4
cloud.ndd.com. IN AAAA ipv6