服务器证书？（windows证书服务器申请证书）

我们通常在服务器ip上使用cdn来加速和防御网站或后端程序。但是nginx在设计上有一个小缺陷，会因为ssl证书泄露网站的原始IP。

原则

用Nginx部署网站。在默认或不正确的配置下，网站打开ssl，直接访问ip的443端口，即ip:443。Nginx将返回默认站点的ssl证书，这间接使其他人能够扫描与该ip对应的域名。

原理是将clienthello发送到ip的端口443。对方回复的serverhello有ssl证书，ssl证书中的常用名称有域名信息。这样，我们就知道了解析这个ip的域名。所以更准确地说，IP的端口443可能会暴露域名。

移动大一点，分批扫描机房的ip段，统计对应的域名-ip多值映射表。以后要查一个域名对应的源站ip，查这个表就够了，这是黑产品喜欢做的事情。

同时，这也是很多站点即使被cdn明显覆盖，依然可以打到源站IP的原因。

解决办法

无法直接访问知识产权

#禁止IP直接访问网站server{listen80default_server;listen[::]:80default_server;server_name_;return444;}

自签名的知识产权SSL证书，返回444

自我签证的目的不是为了访问，而是为了避免Nginx的这个缺陷。自签名的知识产权SSL证书可以由开源的mkcert(https://myssl.com/create _ test _ cert.html)工具生成。Mkcert使用起来有点麻烦，或者使用在线网络工具来测试证书:https://myssl.com/create_test_cert.html.

在您填写域名的地方填写IP地址，点击生成按钮自动显示下面的测试证书，保存为。pem文件和。密钥文件。然后在nginx中配置“return 444”。类似的配置如下:

{listen80;listen443sslhttp2default_server;server_nameip;#HTTP_TO_HTTPS_ENDssl_certificatexxxx.pem;ssl_certificate_keyxxxx.pem;ssl_protocolsTLSv1.1TLSv1.2TLSv1.3;return444;}

购买合法知识产权网站的SSL证书

花点小钱买个合法的IP SSL证书，在nginx里面配置。一般知识产权证书一两百左右。

加钱，世界触手可及。

仅允许指定cdn的IP访问

Nginx只允许IP访问指定的cdn，以免被公网上的任何人扫描。以腾讯云CDN段为例，在Nginx网站配置文件中添加以下内容:

location/{allow58.250.143.0/24;allow58.251.121.0/24;allow59.36.120.0/24;allow61.151.163.0/24;allow101.227.163.0/24;allow111.161.109.0/24;allow116.128.128.0/24;allow123.151.76.0/24;allow125.39.46.0/24;allow140.207.120.0/24;allow180.163.22.0/24;allow183.3.254.0/24;allow223.166.151.0/24;denyall;}

检查使用的CDN商家的文档，如果有新的IP段更新，就添加。

服务器证书？(windows证书服务器申请证书)

下一篇：原单卡西欧一眼看得出来吗
上一篇：五官是指哪些（人的五官准确是哪五官）