服务器多站点多域名HTTPS的实现

假设有这样一个场景，我们有多个站点（例如ｓｉｔｅ１．www.wa57.com，ｓｉｔｅ２．wa57.com和ｓｉｔｅ３．１２６ｖｐｓ．ｃｏｍ）绑定到同一个ＩＰ：ＰＯＲＴ，并区分不同的主机头。我们为每一个ＳＳＬ站点申请并安装了证书。在浏览网站时，用户仍看到证书不匹配的错误。

ＩＩＳ

当一个ｈｔｔｐｓ的请求到达ＩＩＳ服务器时，ｈｔｔｐｓ请求为加密状态，需要拿到相应的服务器证书解密请求。由于每个站点对应的证书不同，服务器需要通过请求中不同的主机头来判断需要用哪个证书解密，然而主机头作为请求的一部分也被加密。最终ＩＩＳ只好使用第一个绑定到该ＩＰ：ＰＯＲＴ的站点证书解密请求，从而有可能造成对于其他站点的请求失败而报错。

解决方案

第一种解决方案将每个ｈｔｔｐｓ站点绑定到不同的端口。但是这样的话客户端浏览网页时必须手动指定端口，例如　ｈｔｔｐｓ：／／www.wa57.com：４４４

第二种解决方案是为每个站点分配一个独立的ｉｐ，这样冲突就解决了，甚至主机头也不用添加了。

第三种解决方案是使用通配证书。我们采用通配证书颁发给．www.wa57.com，对于我们的示例中，应该采用颁发给．ｍａｒｅｉ．ｃｏｍ的证书，这样任何访问该ｄｏｍａｉｎ的请求均可以通过该证书解密，证书匹配错误也就不复存在了。

第四种解决方案是升级为ＩＩＳ８，ＩＩＳ８中添加的对于ＳＮＩ（Ｓｅｒｖｅｒ　Ｎａｍｅ　Ｉｎｄｉｃａｔｉｏｎ）的支持，服务器可以通请求中提取出相应的主机头从而找到相应的证书。

Ｎｇｉｎｘ

打开　Ｎｇｉｎｘ　安装目录下　ｃｏｎｆ　目录中打开　ｎｇｉｎｘ．ｃｏｎｆ　文件，找到

ｓｅｒｖｅｒ　｛

ｌｉｓｔｅｎ　４４３；

ｓｅｒｖｅｒ＿ｎａｍｅ　ｄｏｍａｉｎ１；

ｓｓｌ　ｏｎ；

ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ　磁盘目录／订单号１．ｐｅｍ；

ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ　磁盘目录／订单号１．ｋｅｙ；

ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ　５ｍ；

ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ　ＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；

ｓｓｌ＿ｃｉｐｈｅｒｓ　ＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；

ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ　ｏｎ；

ｌｏｃａｔｉｏｎ　／｛

ｒｏｏｔ　ｈｔｍｌ；

ｉｎｄｅｘ　ｉｎｄｅｘ．ｈｔｍｌ　ｉｎｄｅｘ．ｈｔｍ；

｝

｝

在上述基础上，再添加另一段配置

ｓｅｒｖｅｒ　｛

ｌｉｓｔｅｎ　４４３；

ｓｅｒｖｅｒ＿ｎａｍｅ　ｄｏｍｍａｉｎ２；

ｓｓｌ　ｏｎ；

ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ　磁盘目录／订单号２．ｐｅｍ；

ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ　磁盘目录／订单号２．ｋｅｙ；

ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ　５ｍ；

ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ　ＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；

ｓｓｌ＿ｃｉｐｈｅｒｓ　ＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；

ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ　ｏｎ；

ｌｏｃａｔｉｏｎ　／｛

ｒｏｏｔ　ｈｔｍｌ；

ｉｎｄｅｘ　ｉｎｄｅｘ．ｈｔｍｌ　ｉｎｄｅｘ．ｈｔｍ；

｝

｝

通过上述配置在Ｎｇｉｎｘ中支持多个证书

Ａｐａｃｈｅ

＃　Ａｐａｃｈｅ配置ＨＴＴＰＳ虚拟主机共享４４３端口

Ｌｉｓｔｅｎ４４３

ＮａｍｅＶｉｒｔｕａｌＨｏｓｔ＊：４４３

＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞

ＳｅｒｖｅｒＮａｍｅ　www.wa57.com

ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ　ｃｏｍｍｏｎ．ｃｒｔ；

ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ　ｃｏｍｍｏｎ．ｋｅｙ；

ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ　ｃａ．ｃｒｔ

＜／ＶｉｒｔｕａｌＨｏｓｔ＞

＃在上述基础上，再添加另一段配置，实现第二个虚拟主ＳＳＬ

＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞

ＳｅｒｖｅｒＮａｍｅ　www.wa57.com

ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ　ｃｏｍｍｏｎ２．ｃｒｔ；

ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ　ｃｏｍｍｏｎ２．ｋｅｙ；

ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ　ｃａ２．ｃｒｔ

＜／ＶｉｒｔｕａｌＨｏｓｔ＞

好用的香港云主机、香港云空间、香港服务器的相关问题，可以咨询挖主机网络wa57.com，安全稳定、速度快、易操作，专业技术7×24小时服务。

部分内容、图片来源于互联网，如有侵权请联系我们挖主机wa57.com删除！