假设有这样一个场景,我们有多个站点(例如site1.yixao.net,site2.yixao.net和site3.yixao.net)绑定到同一个IP:PORT,并区分不同的主机头。我们为每一个SSL站点申请并安装了SSL数字证书。在浏览网站时,用户仍看到证书不匹配的错误。那么如何实现同一服务器IP下多站点多域名的https呢?
1. IIS中实现
• 问题原因
当一个https的请求到达IIS服务器时,https请求为加密状态,需要拿到相应的服务器证书解密请求。由于每个站点对应的证书不同,服务器需要通过请求中不同的主机头来判断需要用哪个证书解密,然而主机头作为请求的一部分也被加密。最终IIS只好使用第一个绑定到该IP:PORT的站点证书解密请求,从而有可能造成对于其他站点的请求失败而报错。
• 解决方案
- i. 第一种解决方案将每个https站点绑定到不同的端口。但是这样的话客户端浏览网页时必须手动指定端口,例如 https://site.domain.com:444
- ii. 第二种解决方案是为每个站点分配一个独立的ip,这样冲突就解决了,甚至主机头也不用添加了。
- iii. 第三种解决方案是使用通配符证书。我们采用通配符证书颁发给.domain.com,对于我们的示例中,应该采用颁发给.marei.com的证书,这样任何访问该domain的请求均可以通过该证书解密,证书匹配错误也就不复存在了。
- iv. 第四种解决方案是升级为IIS8,IIS8中添加的对于SNI(Server Name Indication)的支持,服务器可以通请求中提取出相应的主机头从而找到相应的证书。
SNI开启方式请参考https://docs.microsoft.com/en-us/iis/get-started/whats-new-in-iis-8/iis-80-server-name-indication-sni-ssl-scalability
2. Nginx中实现
打开 Nginx 安装目录下 conf 目录中打开 nginx.conf 文件,找到:
server {
listen 443;
server_name domain1;
ssl on;
ssl_certificate 磁盘目录/订单号1.pem;
ssl_certificate_key 磁盘目录/订单号1.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphersAESGCM:ALL:!DH:!EXPORT:!RC4: HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
在上述基础上,再添加另一段配置
server {
listen 443;
server_name dommain2;
ssl on;
ssl_certificate 磁盘目录/订单号2.pem;
ssl_certificate_key 磁盘目录/订单号2.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4: HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
通过上述配置在Nginx中支持多个证书。
3. Apache配置HTTPS虚拟主机共享443端口
Listen 443 NameVirtualHost *:443 < VirtualHost *:443 > …… ServerName www.example1.com SSLCertificateFile common.crt; SSLCertificateKeyFile common.key; SSLCertificateChainFile ca.crt …… < /VirtualHost > < VirtualHost *:443 > …… ServerName www.example2.com SSLCertificateFile common2.crt; SSLCertificateKeyFile common2.key; SSLCertificateChainFile ca2.crt …… < /VirtualHost >
内容出处:,
声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。文章链接:http://www.yixao.com/tech/6615.html
微信扫一扫
支付宝扫一扫
相关推荐
-
大型网站的 HTTPS 实践:基于协议和配置的优化
百度在2015年即完成HTTPS改造,那大型网站的HTTPS改造中都有哪些实践经验,学院君特分析这篇干货满满系列内容,转自百度运维博客。 1 前言 上文讲到 HTTPS 对用户访…
-
Node.js的Web框架Fastify3.14.1发布,将master更新为main
Fastify 3.14.1 发布了,Fastify 是一个高度专注于以最少开销和强大的插件架构为开发者提供最佳体验的 Node.js Web 框架,速度极快,它的灵感来源于 Ha…
-
2021年前端设计趋势预测
简介: 2021 哪些前端技术值得关注?来听听狼叔的分享。 知乎上,有人提问《2021前端会有什么新的变化?》 狼叔的回答二天超过6.1万 阅读量,目前444个赞同,2个专业徽章,…
-
全文搜索引擎Elasticsearch的基本概念和操作
一、简介 关于Java Web的开发周边技术,搜索引擎也是经常被用到的,其中solr和es是被当作技术选型经常出现的,他们都是基于lucene,但是,你没法直接用 Lucene,必…
-
Google将放弃在 iOS 上使用Material Design
负责 Google 产品在苹果平台版本界面设计的首席工程师 Jeff Verkoeyen 在 Twitter 表示,Google 将从今年开始逐步放弃在 iOS 平台使用 Mate…
-
防止网站被恶意反向代理的方法
反向代理反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标…
-
使用Docker让部署Django项目更加轻松
作者:HelloGitHub-追梦人物 之前一系列繁琐的部署步骤让我们感到痛苦。这些痛苦包括: 要去服务器上执行 n 条命令 本地环境和服务器环境不一致,明明本地运行没问题,一部署…
-
Linux 25 周年之际,Linus Torvalds 带给我们一段炉边谈话
6 月 26 日星期一,Linus Torvalds 首次来到中国,在北京举办的 LinuxCon ContainerCon CloudOpen 研讨会上开讲。在 2 千人面前,T…
-
营销型企业网站建设的设计要领
企业网站是企业的窗口,也是企业营销的一个工具,浏览者对企业网站的印象,就是对企业的印象,更能为企业带来业务。因此,企业网站建设一定要体现出专业的水准。针对一些常见问题,专业网站建设公司武汉中意源列出了多种常见的开发错误,当然这些问题对于个人网站、业余爱好者和非盈利性机构的网站来讲也是适用的,无论如何请您都要尽力避免这些常见的问题。
-
ElasticSearch原理知识点和整体结构详解
ElasticSearch整体结构 在通过图解了解了ES整体的原理后,我们梳理下ES的整体结构 一个 ES Index 在集群模式下,有多个 Node (节点)组成。每个节点就是 …