жопа к нам приходит, жопа к нам приходит

приму в долг 1.5 килорубля до начала марта

nginx, оказывается, не умеет переменные в ssl_certificate/ssl_certificate_key, поэтому написать "ssl_certificate /etc/nginx/ssl/$ssl_cname.pem" и получать $ssl_cname из $ssl_server_name с помощью map не получится.

В то время как в pound можно просто накидать несколько директив Cert подряд и оно из них автоматом выдернет тот, который подходит для представленного SNI хоста.

С другой стороны, в nginx можно переменные в proxy_pass, что позволит с помощью того же map получать адрес бэкенда из имени хоста и не плодить по 7 строк на каждый хостнейм, как в pound. Но для SSL хостов таки придётся как минимум по 6 на каждый (server_name, сертификат, ключ и include общего куска конфига с проксипассом, плюс скобочки). Ну или чем-то генерить.

В общем, печаль и уныние кругом :(