欢迎访问www.showerlee.com, 您的支持就是我前进的动力.

Apache中多个HTTPS虚拟主机的实现

showerlee 2013-08-31 21:57 APACHE 阅读 (8,711) 抢沙发

要实现一个Apache服务器上提供多个SSL虚拟主机

可以:

* 使用多域名SSL证书,可以实现一个IP,一个443端口上多个SSL虚拟主机;

* 一个ip,为所有SSL虚拟主机配置单独的端口。比如,默认的虚拟主机使用443,其他的使用8080或8081等,且每个SSL虚拟主机必须独占一个端口;

* 为Apache服务器配置多个IP,每个SSL虚拟主机独占IP。如果只有一张物理网卡,可以配置为网卡配置子接口;

* 使用mod_gnutls模块,创建多个SSL虚拟主机 


1. Apache中同一IP多个HTTPS虚拟主机的实现

在 Apache 文档中提到,不能在单个 IP 上同时有多个按名字识别的虚拟主机("named virtual host")。不完全是这样。

HTTPS协议的过程是:服务器首先与客户机之间进行服务器身份验证并协商安全会话,然后,客户端向服务器发送 HTTP 请求。这样一来,在客户端开始发送HTTP请求之前,服务器就已经把证书发给了客户端(客户端根据本地的根证书去验证证书链,等等)。而最重要的是,为了表明身份,这个证书的"Common Name"填写的应该是域名,否则浏览器会给出警告。

既然在这个过程中,客户端就所访问的域名所处的地位是"被告知"的地位,因此,客户端再发出的 Host: 请求头也就显得不那么有意义了。另一方面,如果客户请求的域名与Common Name不符,浏览器也会给出警告。至少,在表面上看是这样。


不过,对于自行签署的证书,以及一些发证机构而言,其实还可以签署一种普适HTTPS证书,这种证书的Common Name一栏是 *.domain.tld 这样的形式,即其主机名部分可以是任意字符串,而只有域名部分是确定的。
当然,这种证书的安全性有一定的负面影响:由于一个证书可以验证整个域下面的所有服务器,一旦其被破解,则所有加密通讯也就同时失密了(当然,可以每台服务器使用自己的单独的证书),不过这个问题并不是太严重,通常还算是尚可接受的范围。另一个潜在的影响是,某些手机上运行的浏览器不能正确处理这种证书,不过这个问题仅限于希望给手机提供服务的网站。

因此,简而言之,符合这样几个条件的前提下,是可以在同一个IP上部署多个HTTPS虚拟主机的:

a) 这些虚拟主机是同属于同一域名的子域名 

b) 拥有普适证书 

c) 正确地配置Apache。

如果要在一个IP地址上需要部署多个SSL网站

(1)一种方法:如果要在同一个IP地址的443端口上部署多个网站,必须保证这些网站的域名都能匹配相同的一张SSL证书。这是因为SSL握手协议过程中,是通过IP+Port来进行通信,一个IP的一个端口只能返给客户一张SSL证书(即使有多张证书,也只能返回第一张,因为无法分辨用户会需要返回哪张证书),如果这张证书能够满足这些网站的主机名匹配要求(访问b.test.com时,使用a.test.com段的证书,证书中包含a.test.com,于虚拟主机中的主机名之一匹配),就可以使用。
一般能匹配多个主机名的证书有通配符证书*.domain.com和多域名证书(www.domain.com,ftp.domain.com 等),以下我们提供一个典型同一个IP上的多主机名部署配置,www.domain.com对应的根目录在WWW下,ftp.domain.com对应的根目录在FTP下,

当然,这种证书的安全性有一定的负面影响:由于一个证书可以验证整个域下面的所有服务器,一旦其被破解,则所有加密通讯也就同时失密了(当然,可以每台服务器使用自己的单独的证书),不过这个问题并不是太严重,通常还算是尚可接受的范围。另一个潜在的影响是,某些手机上运行的浏览器不能正确处理这种证书,不过这个问题仅限于希望给手机提供服务的网站。


因此,简而言之,符合这样几个条件的前提下,是可以在同一个IP上部署多个HTTPS虚拟主机的:

a) 这些虚拟主机是同属于同一域名的子域名 

b) 拥有普适证书 

c) 正确地配置Apache。


如果要在一个IP地址上需要部署多个SSL网站

(1)一种方法:如果要在同一个IP地址的443端口上部署多个网站,必须保证这些网站的域名都能匹配相同的一张SSL证书。这是因为SSL握手协议过程中,是通过IP+Port来进行通信,一个IP的一个端口只能返给客户一张SSL证书(即使有多张证书,也只能返回第一张,因为无法分辨用户会需要返回哪张证书),如果这张证书能够满足这些网站的主机名匹配要求(访问b.test.com时,使用a.test.com段的证书,证书中包含a.test.com,于虚拟主机中的主机名之一匹配),就可以使用。

一般能匹配多个主机名的证书有通配符证书*.domain.com和多域名证书(www.domain.com,ftp.domain.com 等),以下我们提供一个典型同一个IP上的多主机名部署配置,www.domain.com对应的根目录在WWW下,ftp.domain.com对应的根目录在FTP下,http://www.domain.comhttp://ftp.domain.com使用相同的证书:

NameVirtualHost 11.22.33.44:443


<VirtualHost 11.22.33.44:443>

DocumentRoot "C:/Apache2.2/htdocs/www"

ServerName http://www.domain.com

SSLEngine on

SSLCertificateFile "C:/Apache2.2/conf/server.cer"

SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

</VirtualHost>


<VirtualHost 11.22.33.44:443>

DocumentRoot "C:/Apache2.2/htdocs/ftp"

ServerName http://ftp.domain.com

SSLEngine on

SSLCertificateFile "C:/Apache2.2/conf/server.cer"

SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

</VirtualHost>


(2)另一种办法就是给每个网站分配不同的端口号

<VirtualHost 11.22.33.44:443>

DocumentRoot "C:/Apache2.2/htdocs/www"

ServerName http://www.domain.com

SSLEngine on

SSLCertificateFile "C:/Apache2.2/conf/server.cer"

SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

</VirtualHost>


<VirtualHost 11.22.33.44:8443>

DocumentRoot "C:/Apache2.2/htdocs/ftp"

ServerName http://ftp.domain.com

SSLEngine on

SSLCertificateFile "C:/Apache2.2/conf/server.cer"

SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

</VirtualHost>


基于域名的虚拟主机只能使用同一个证书,或者说,即使有不同的证书,最终使用的都是排在前面的默认的第一个


2. Apache中一张网卡绑定不同IP实现多个HTTPS虚拟主机

一张网卡绑定多个ip,ifconfig eth0:0......

<VirtualHost 220.181.75.109:8443>

     ServerAdmin lala@corp.net.com

     DocumentRoot /home/lala/apache/htdocs/test

     ServerName a.test.com

     SSLEngine on

     SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

     SSLCertificateFile /home/lala/apache/conf/ssl.key/server.crt

     SSLCertificateKeyFile /home/lala/apache/conf/ssl.key/server.key

     #Include /home/lala/apache/conf/ssl.conf

     #ErrorLog logs/dummy-a.test.com-error_log

     #CustomLog logs/a.test.com-access_log common

</VirtualHost>


<VirtualHost 220.181.75.65:8443>

     ServerAdmin lala@corp.net.com

     DocumentRoot /home/lala/apache/htdocs/test2

     ServerName d.test.com

     SSLEngine on

     SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

     SSLCertificateFile /home/lala/apache/conf/ssl.key/server2.crt

     SSLCertificateKeyFile /home/lala/apache/conf/ssl.key/server2.key

     #Include /home/lala/apache/conf/ssl.conf

     #ErrorLog logs/dummy-a.test.com-error_log

     #CustomLog logs/a.test.com-access_log common

</VirtualHost>

正文部分到此结束
版权声明:除非注明,本文由(showerlee)原创,转载请保留文章出处!
本文链接:http://www.showerlee.com/archives/825

继续浏览:APACHEHTTPS

还没有评论,快来抢沙发!

发表评论

icon_wink.gif icon_neutral.gif icon_mad.gif icon_twisted.gif icon_smile.gif icon_eek.gif icon_sad.gif icon_rolleyes.gif icon_razz.gif icon_redface.gif icon_surprised.gif icon_mrgreen.gif icon_lol.gif icon_idea.gif icon_biggrin.gif icon_evil.gif icon_cry.gif icon_cool.gif icon_arrow.gif icon_confused.gif icon_question.gif icon_exclaim.gif