伺服器多站點多域名HTTPS實現

假設有這樣一個場景，我們有多個站點（例如ｓｉｔｅ１．，ｓｉｔｅ２．xikunyun.com和ｓｉｔｅ３．１２６ｖｐｓ．ｃｏｍ）繫結到同一個ＩＰ：ＰＯＲＴ，並區分不同的主機頭。我們為每一個ＳＳＬ站點申請並安裝了證書。在瀏覽網站時，使用者仍看到證書不匹配的錯誤。

ＩＩＳ

當一個ｈｔｔｐｓ的請求到達ＩＩＳ伺服器時，ｈｔｔｐｓ請求為加密狀態，需要拿到相應的伺服器證書解密請求。由於每個站點對應的證書不同，伺服器需要透過請求中不同的主機頭來判斷需要用哪個證書解密，然而主機頭作為請求的一部分也被加密。最終ＩＩＳ只好使用第一個繫結到該ＩＰ：ＰＯＲＴ的站點證書解密請求，從而有可能造成對於其他站點的請求失敗而報錯。

解決方案

• 第一種解決方案將每個ｈｔｔｐｓ站點繫結到不同的埠。但是這樣的話客戶端瀏覽網頁時必須手動指定埠，例如 ｈｔｔｐｓ：／／：４４４

• 第二種解決方案是為每個站點分配一個獨立的ｉｐ，這樣衝突就解決了，甚至主機頭也不用新增了。

• 第三種解決方案是使用通配證書。我們採用通配證書頒發給．，對於我們的示例中，應該採用頒發給．ｍａｒｅｉ．ｃｏｍ的證書，這樣任何訪問該ｄｏｍａｉｎ的請求均可以透過該證書解密，證書匹配錯誤也就不復存在了。

• 第四種解決方案是升級為ＩＩＳ８，ＩＩＳ８中新增的對於ＳＮＩ（Ｓｅｒｖｅｒ Ｎａｍｅ Ｉｎｄｉｃａｔｉｏｎ）的支援，伺服器可以通請求中提取出相應的主機頭從而找到相應的證書。

  
  

• Ｎｇｉｎｘ

• 開啟 Ｎｇｉｎｘ 安裝目錄下 ｃｏｎｆ 目錄中開啟 ｎｇｉｎｘ．ｃｏｎｆ 檔案，找到

• ｓｅｒｖｅｒ ｛
• ｌｉｓｔｅｎ ４４３；
• ｓｅｒｖｅｒ＿ｎａｍｅ ｄｏｍａｉｎ１；
• ｓｓｌ ｏｎ；
• ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ 磁碟目錄／訂單號１．ｐｅｍ；
• ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ 磁碟目錄／訂單號１．ｋｅｙ；
• ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ ５ｍ；
• ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ ＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；
• ｓｓｌ＿ｃｉｐｈｅｒｓ ＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；
• ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ ｏｎ；
• ｌｏｃａｔｉｏｎ ／｛
• ｒｏｏｔ ｈｔｍｌ；
• ｉｎｄｅｘ ｉｎｄｅｘ．ｈｔｍｌ ｉｎｄｅｘ．ｈｔｍ；

• ｝

• ｝

在上述基礎上，再新增另一段配置

1. ｓｅｒｖｅｒ ｛
2. ｌｉｓｔｅｎ ４４３；
3. ｓｅｒｖｅｒ＿ｎａｍｅ ｄｏｍｍａｉｎ２；
4. ｓｓｌ ｏｎ；
5. ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ 磁碟目錄／訂單號２．ｐｅｍ；
6. ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ 磁碟目錄／訂單號２．ｋｅｙ；
7. ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ ５ｍ；
8. ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ ＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；
9. ｓｓｌ＿ｃｉｐｈｅｒｓ ＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；
10. ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ ｏｎ；
11. ｌｏｃａｔｉｏｎ ／｛
12. ｒｏｏｔ ｈｔｍｌ；
13. ｉｎｄｅｘ ｉｎｄｅｘ．ｈｔｍｌ ｉｎｄｅｘ．ｈｔｍ；
14. ｝
15. ｝

透過上述配置在Ｎｇｉｎｘ中支援多個證書

Ａｐａｃｈｅ

1. ＃ Ａｐａｃｈｅ配置ＨＴＴＰＳ虛擬主機共享４４３埠
2. Ｌｉｓｔｅｎ４４３
3. ＮａｍｅＶｉｒｔｕａｌＨｏｓｔ＊：４４３
4. ＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
5. ＳｅｒｖｅｒＮａｍｅ 
6. ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ ｃｏｍｍｏｎ．ｃｒｔ；
7. ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ ｃｏｍｍｏｎ．ｋｅｙ；
8. ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ ｃａ．ｃｒｔ
9. ＜／ＶｉｒｔｕａｌＨｏｓｔ＞
10. ＃在上述基礎上，再新增另一段配置，實現第二個虛擬主ＳＳＬ
11. ＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
12. ＳｅｒｖｅｒＮａｍｅ 
13. ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ ｃｏｍｍｏｎ２．ｃｒｔ；
14. ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ ｃｏｍｍｏｎ２．ｋｅｙ；
15. ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ ｃａ２．ｃｒｔ
16. ＜／ＶｉｒｔｕａｌＨｏｓｔ＞