假設有這樣一個場景，我們有多個站點（例如ｓｉｔｅ１．，ｓｉｔｅ２．xikunyun.com和ｓｉｔｅ３．１２６ｖｐｓ．ｃｏｍ）繫結到同一個ＩＰ：ＰＯＲＴ，並區分不同的主機頭。我們為每一個ＳＳＬ站點申請並安裝了證書。在瀏覽網站時，使用者仍看到證書不匹配的錯誤。

ＩＩＳ

當一個ｈｔｔｐｓ的請求到達ＩＩＳ伺服器時，ｈｔｔｐｓ請求為加密狀態，需要拿到相應的伺服器證書解密請求。由於每個站點對應的證書不同，伺服器需要透過請求中不同的主機頭來判斷需要用哪個證書解密，然而主機頭作為請求的一部分也被加密。最終ＩＩＳ只好使用第一個繫結到該ＩＰ：ＰＯＲＴ的站點證書解密請求，從而有可能造成對於其他站點的請求失敗而報錯。

解決方案

第一種解決方案將每個ｈｔｔｐｓ站點繫結到不同的埠。但是這樣的話客戶端瀏覽網頁時必須手動指定埠，例如ｈｔｔｐｓ：／／：４４４
第二種解決方案是為每個站點分配一個獨立的ｉｐ，這樣衝突就解決了，甚至主機頭也不用新增了。
第三種解決方案是使用通配證書。我們採用通配證書頒發給．，對於我們的示例中，應該採用頒發給．ｍａｒｅｉ．ｃｏｍ的證書，這樣任何訪問該ｄｏｍａｉｎ的請求均可以透過該證書解密，證書匹配錯誤也就不復存在了。
第四種解決方案是升級為ＩＩＳ８，ＩＩＳ８中新增的對於ＳＮＩ（ＳｅｒｖｅｒＮａｍｅＩｎｄｉｃａｔｉｏｎ）的支援，伺服器可以通請求中提取出相應的主機頭從而找到相應的證書。
Ｎｇｉｎｘ
開啟Ｎｇｉｎｘ安裝目錄下ｃｏｎｆ目錄中開啟ｎｇｉｎｘ．ｃｏｎｆ檔案，找到
ｓｅｒｖｅｒ｛
ｌｉｓｔｅｎ４４３；
ｓｅｒｖｅｒ＿ｎａｍｅｄｏｍａｉｎ１；
ｓｓｌｏｎ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ磁碟目錄／訂單號１．ｐｅｍ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ磁碟目錄／訂單號１．ｋｅｙ；
ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ５ｍ；
ｓｓｌ＿ｐｒｏｔｏｃｏｌｓＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；
ｓｓｌ＿ｃｉｐｈｅｒｓＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；
ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓｏｎ；
ｌｏｃａｔｉｏｎ／｛
ｒｏｏｔｈｔｍｌ；
ｉｎｄｅｘｉｎｄｅｘ．ｈｔｍｌｉｎｄｅｘ．ｈｔｍ；
｝
｝

在上述基礎上，再新增另一段配置

ｓｅｒｖｅｒ｛
ｌｉｓｔｅｎ４４３；
ｓｅｒｖｅｒ＿ｎａｍｅｄｏｍｍａｉｎ２；
ｓｓｌｏｎ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ磁碟目錄／訂單號２．ｐｅｍ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ磁碟目錄／訂單號２．ｋｅｙ；
ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ５ｍ；
ｓｓｌ＿ｐｒｏｔｏｃｏｌｓＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；
ｓｓｌ＿ｃｉｐｈｅｒｓＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；
ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓｏｎ；
ｌｏｃａｔｉｏｎ／｛
ｒｏｏｔｈｔｍｌ；
ｉｎｄｅｘｉｎｄｅｘ．ｈｔｍｌｉｎｄｅｘ．ｈｔｍ；
｝
｝

透過上述配置在Ｎｇｉｎｘ中支援多個證書

Ａｐａｃｈｅ

＃Ａｐａｃｈｅ配置ＨＴＴＰＳ虛擬主機共享４４３埠
Ｌｉｓｔｅｎ４４３
ＮａｍｅＶｉｒｔｕａｌＨｏｓｔ＊：４４３
＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
ＳｅｒｖｅｒＮａｍｅ
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅｃｏｍｍｏｎ．ｃｒｔ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅｃｏｍｍｏｎ．ｋｅｙ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅｃａ．ｃｒｔ
＜／ＶｉｒｔｕａｌＨｏｓｔ＞
＃在上述基礎上，再新增另一段配置，實現第二個虛擬主ＳＳＬ
＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
ＳｅｒｖｅｒＮａｍｅ
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅｃｏｍｍｏｎ２．ｃｒｔ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅｃｏｍｍｏｎ２．ｋｅｙ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅｃａ２．ｃｒｔ
＜／ＶｉｒｔｕａｌＨｏｓｔ＞

伺服器多站點多域名HTTPS實現

ＩＩＳ

Ｎｇｉｎｘ

Ａｐａｃｈｅ

相關文章