nginx를 사용하여 자체 인증서로 여러 하위 도메인을 설정하려면 어떻게합니까?

내가 읽은 모든 대답이 명백하지 않은 한, SNI는 내가 원하는 것을 할 수있게해야하지만, 모든 가이드는 내가하고있는 일을 정확하게하도록 지시합니다.

그러나 nginx는 잘못된 인증서를 제공하므로 분명히 뭔가 잘못하고 있습니다.

❯ sudo nginx -V | grep SNI                                                                                                                                                                                                                                                            %1
nginx version: nginx/1.10.3
built with OpenSSL 1.1.0f  25 May 2017
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qJwWoo/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/ngi
nx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fa
stcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_reques
t_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --wit
h-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-auth-pam --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-dav-
ext-module --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-echo --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-upstream-fair --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/ngx_http_substitutions_filter_m
odule

구성 설정은 다음과 같습니다.

server {
  listen 443 ssl default_server;
  listen [::]:443 ssl;

  server_name one.example.com;

  ssl on;
  ssl_certificate       /etc/letsencrypt/live/one.example.com/fullchain.pem;
  ssl_certificate_key   /etc/letsencrypt/live/one.example.com/privkey.pem;

  index index.html;
  root /var/www/one.example.com/site;
}

server {
  #listen 443 ssl default_server;
  listen [::]:443 ssl;

  server_name two.example.com;

  ssl on;
  ssl_certificate       /etc/letsencrypt/live/two.example.com/fullchain.pem;
  ssl_certificate_key   /etc/letsencrypt/live/two.example.com/privkey.pem;

  index index.html;
  root /var/www/two.example.com/site;
}

listen 443 ssl default_server;두 서버 중 하나에 지시문 이 있으면 두 도메인 모두 해당 서버에 대한 SSL 인증서를 반환합니다. 두 도메인에서 제거하면 아무 것도 얻지 못합니다. 두 서버 도메인 모두 연결을 거부합니다.

내가 여기서 잘못한 것은 무엇입니까? SNI의 작동 방식을 이해하지 못합니까? 내 nginx는 SNI 지원이 활성화 된 상태로 구축되었습니다. 그럼에도 불구하고 ... 나는 하나의 하위 도메인에 대해서만 SSL 인증서를 제공받습니다.

listen 443 ssl default_server;
listen [::]:443 ssl;

첫 번째 줄은 IPv4의 포트 443에서 수신 대기합니다. 두 번째 줄은 IPv6에만 적용됩니다. 단일 listen 443(IPv4) 구성 만 있으므로 IPv4에 연결하면 사용됩니다. IPv6에 연결하려고하면 SNI에 예상되는 동작이 표시되어야합니다.

대신 기본 서버에 사용할 수 있습니다.

  listen 443 ssl default_server;
  listen [::]:443 ssl default_server;

그리고 다른 서버

  listen 443 ssl;
  listen [::]:443 ssl;

IPv6 수신 구문과 관련이있는 것 같습니다. 내가 바꿀 때

listen [::]:443 ssl;

에

listen 443 ssl;

그런 다음 작동합니다.

나는 이것이 왜 그런지 모르겠으며 더 많은 / 더 나은 설명으로 다른 답변을 환영 할 것입니다.