同一个端口无法同时配置基于 server_name 的 HTTP（非加密）和 HTTPS（加密）

在 Nginx 中，同一个端口无法同时配置基于 server_name 的 HTTP（非加密）和 HTTPS（加密）两个虚拟主机，这是由网络协议和 Nginx 处理机制共同决定的。

核心原因：HTTP 和 HTTPS 的本质区别

• HTTP：基于明文传输，客户端与服务器建立连接后直接发送请求（包括 Host 头，用于 Nginx 识别 server_name）。
• HTTPS：基于 TLS 加密传输，连接建立前会先进行 TLS 握手（客户端验证服务器证书），这个阶段还未发送 HTTP 请求中的 Host 头，Nginx 无法通过 server_name 区分虚拟主机。

因此，同一端口上，Nginx 必须先确定是否启用 SSL（即是否处理 TLS 握手），而无法根据后续的 server_name 动态切换。

具体场景与限制

假设尝试在端口 80 或 443 上同时配置 HTTP 和 HTTPS 虚拟主机，会触发错误或不符合预期：

1. 同一端口配置 listen 端口（HTTP）和 listen 端口 ssl（HTTPS）

例如：

# 虚拟主机1：HTTP（非SSL）
server {listen 80;server_name a.com;# ... 非SSL配置
}# 虚拟主机2：HTTPS（SSL）
server {listen 80 ssl;  # 同一端口启用SSLserver_name b.com;# ... SSL证书配置
}

• 结果：Nginx 启动失败，提示冲突（同一端口不能同时处理 SSL 和非 SSL 连接）。

2. 同一端口仅配置 listen 端口 ssl（HTTPS），但想通过 server_name 兼容 HTTP

例如：

server {listen 443 ssl;  # 端口443启用SSLserver_name a.com;ssl_certificate ...;  # SSL证书# ... HTTPS配置
}server {listen 443;  # 同一端口不启用SSL（HTTP）server_name b.com;# ... HTTP配置
}

• 结果：Nginx 启动失败，因为同一端口的 listen 指令不能同时存在 ssl 和非 ssl 模式。

正确的实现方式（分离端口）

必须通过不同端口区分 HTTP 和 HTTPS，再通过 server_name 区分虚拟主机：

1. HTTP 用端口 80（默认），HTTPS 用端口 443（默认）

# HTTP 虚拟主机（端口80）
server {listen 80;server_name a.com;# ... HTTP配置（如静态文件、反向代理）
}server {listen 80;server_name b.com;# ... 另一个HTTP虚拟主机
}# HTTPS 虚拟主机（端口443）
server {listen 443 ssl;server_name a.com;ssl_certificate /path/a.crt;  # a.com的SSL证书ssl_certificate_key /path/a.key;# ... HTTPS配置
}server {listen 443 ssl;server_name b.com;ssl_certificate /path/b.crt;  # b.com的SSL证书ssl_certificate_key /path/b.key;# ... 另一个HTTPS虚拟主机
}

2. 非默认端口（如 8080 用于HTTP，8443 用于HTTPS）

# HTTP（端口8080）
server {listen 8080;server_name a.com;# ...
}# HTTPS（端口8443）
server {listen 8443 ssl;server_name a.com;ssl_certificate ...;# ...
}

延伸：如何让 HTTP 自动跳转至 HTTPS？

如果希望用户访问 HTTP 时自动跳转到 HTTPS（推荐），可以在 HTTP 虚拟主机中配置重定向：

# HTTP 虚拟主机（仅用于重定向）
server {listen 80;server_name a.com b.com;  # 覆盖所有需要跳转的域名return 301 https://$host$request_uri;  # 永久重定向到HTTPS
}# HTTPS 虚拟主机（端口443）
server {listen 443 ssl;server_name a.com;ssl_certificate ...;# ... HTTPS配置
}server {listen 443 ssl;server_name b.com;ssl_certificate ...;# ... HTTPS配置
}

总结

• 核心结论：同一端口无法通过 server_name 同时配置 HTTP 和 HTTPS 虚拟主机（因 SSL 握手先于 server_name 识别）。
• 解决方案：用不同端口（如 80 对应 HTTP，443 对应 HTTPS），再通过 server_name 区分虚拟主机。
• 最佳实践：将 HTTP 请求重定向到 HTTPS，提升安全性。