Apache中多个HTTPS虚拟主机的实现
点击:申请SSL证书
要实现一个Apache服务器上提供多个SSL虚拟主机,可以:
* 使用多域名SSL证书,可以实现一个IP,一个443端口上多个SSL虚拟主机;
* 一个ip,为所有SSL虚拟主机配置单独的端口。比如,默认的虚拟主机使用443,其他的使用8080或8081等,且每个SSL虚拟主机必须独占一个端口;
* 为Apache服务器配置多个IP,每个SSL虚拟主机独占IP。如果只有一张物理网卡,可以配置为网卡配置子接口;
* 使用mod_gnutls模块,创建多个SSL虚拟主机
________________________________________
1. Apache中同一IP多个HTTPS虚拟主机的实现
在 Apache 文档中提到,不能在单个 IP 上同时有多个按名字识别的虚拟主机(“named virtual host”)。不完全是这样。
HTTPS协议的过程是:服务器首先与客户机之间进行服务器身份验证并协商安全会话,然后,客户端向服务器发送 HTTP 请求。这样一来,在客户端开始发送HTTP请求之前,服务器就已经把证书发给了客户端(客户端根据本地的根证书去验证证书链,等等)。而最重要的是,为了表明身份,这个证书的”Common Name”填写的应该是域名,否则浏览器会给出警告。
既然在这个过程中,客户端就所访问的域名所处的地位是”被告知”的地位,因此,客户端再发出的 Host: 请求头也就显得不那么有意义了。另一方面,如果客户请求的域名与Common Name不符,浏览器也会给出警告。至少,在表面上看是这样。
不过,对于自行签署的证书,以及一些发证机构而言,其实还可以签署一种普适HTTPS证书,这种证书的Common Name一栏是 *.domain.tld 这样的形式,即其主机名部分可以是任意字符串,而只有域名部分是确定的。
当然,这种证书的安全性有一定的负面影响:由于一个证书可以验证整个域下面的所有服务器,一旦其被破解,则所有加密通讯也就同时失密了(当然,可以每台服务器使用自己的单独的证书),不过这个问题并不是太严重,通常还算是尚可接受的范围。另一个潜在的影响是,某些手机上运行的浏览器不能正确处理这种证书,不过这个问题仅限于希望给手机提供服务的网站。
因此,简而言之,符合这样几个条件的前提下,是可以在同一个IP上部署多个HTTPS虚拟主机的:
a) 这些虚拟主机是同属于同一域名的子域名
b) 拥有普适证书
c) 正确地配置Apache。
如果要在一个IP地址上需要部署多个SSL网站,
(1)一种方法:如果要在同一个IP地址的443端口上部署多个网站,必须保证这些网站的域名都能匹配相同的一张SSL证书。这是因为SSL握手协议过程中,是通过IP+Port来进行通信,一个IP的一个端口只能返给客户一张SSL证书(即使有多张证书,也只能返回第一张,因为无法分辨用户会需要返回哪张证书),如果这张证书能够满足这些网站的主机名匹配要求(访问b.test.com时,使用a.test.com段的证书,证书中包含a.test.com,于虚拟主机中的主机名之一匹配),就可以使用。
一般能匹配多个主机名的证书有通配符证书*.domain.com和多域名证书(www.domain.com,ftp.domain.com 等),以下我们提供一个典型同一个IP上的多主机名部署配置,www.domain.com对应的根目录在WWW下,ftp.domain.com对应的根目录在FTP下,www.domain.com与ftp.domain.com使用相同的证书:
NameVirtualHost 11.22.33.44:443
DocumentRoot “C:/Apache2.2/htdocs/www”
ServerName www.domain.com
SSLEngine on
SSLCertificateFile “C:/Apache2.2/conf/server.cer”
SSLCertificateKeyFile “C:/Apache2.2/conf/server.key”
DocumentRoot “C:/Apache2.2/htdocs/ftp”
ServerName ftp.domain.com
SSLEngine on
SSLCertificateFile “C:/Apache2.2/conf/server.cer”
SSLCertificateKeyFile “C:/Apache2.2/conf/server.key”
(2)另一种办法就是给每个网站分配不同的端口号;
DocumentRoot “C:/Apache2.2/htdocs/www”
ServerName www.domain.com
SSLEngine on
SSLCertificateFile “C:/Apache2.2/conf/server.cer”
SSLCertificateKeyFile “C:/Apache2.2/conf/server.key”
DocumentRoot “C:/Apache2.2/htdocs/ftp”
ServerName ftp.domain.com
SSLEngine on
SSLCertificateFile “C:/Apache2.2/conf/server.cer”
SSLCertificateKeyFile “C:/Apache2.2/conf/server.key”