服务器多站点多域名HTTPS实现-宇众网络服务器-行业资讯

服务器多站点多域名HTTPS实现-宇众网络服务器

2020年11月06日

假设有这样一个场景，我们有多个站点（例如yuzhong．idc．cｏｍ，yuzhong2．idc．ｃｏｍ和yuzhong３．idc．ｃｏｍ）绑定到同一个ＩＰ：ＰＯＲＴ，并区分不同的主机头。我们为每一个ＳＳＬ站点申请并安装了证书。在浏览网站时，用户仍看到证书不匹配的错误。

ＩＩＳ

当一个ｈｔｔｐｓ的请求到达ＩＩＳ服务器时，ｈｔｔｐｓ请求为加密状态，需要拿到相应的服务器证书解密请求。由于每个站点对应的证书不同，服务器需要通过请求中不同的主机头来判断需要用哪个证书解密，然而主机头作为请求的一部分也被加密。最终ＩＩＳ只好使用第一个绑定到该ＩＰ：ＰＯＲＴ的站点证书解密请求，从而有可能造成对于其他站点的请求失败而报错。

解决方案

宇众网络服务器www.yuzhongidc.com高防扛T级流量攻击。

第一种解决方案将每个ｈｔｔｐｓ站点绑定到不同的端口。但是这样的话客户端浏览网页时必须手动指定端口，例如ｈｔｔｐｓ：／／ｗｗｗ．idc．ｃｏｍ:666
第二种解决方案是为每个站点分配一个独立的ｉｐ，这样冲突就解决了，甚至主机头也不用添加了。
第三种解决方案是使用通配证书。我们采用通配证书颁发给．ｄｏｍａｉｎ．ｃｏｍ，对于我们的示例中，应该采用颁发给．ｍａｒｅｉ．ｃｏｍ的证书，这样任何访问该ｄｏｍａｉｎ的请求均可以通过该证书解密，证书匹配错误也就不复存在了。
第四种解决方案是升级为ＩＩＳ８，ＩＩＳ８中添加的对于ＳＮＩ（Ｓｅｒｖｅｒ　Ｎａｍｅ　Ｉｎｄｉｃａｔｉｏｎ）的支持，服务器可以通请求中提取出相应的主机头从而找到相应的证书。
Ｎｇｉｎｘ
打开　Ｎｇｉｎｘ　安装目录下　ｃｏｎｆ　目录中打开　ｎｇｉｎｘ．ｃｏｎｆ　文件，找到
ｓｅｒｖｅｒ　｛
ｌｉｓｔｅｎ　４４３；
ｓｅｒｖｅｒ＿ｎａｍｅ　ｄｏｍａｉｎ１；
在上述基础上，再添加另一段配置
ｓｅｒｖｅｒ　｛
ｌｉｓｔｅｎ　４４３；
ｓｅｒｖｅｒ＿ｎａｍｅ　ｄｏｍｍａｉｎ２；
ｓｓｌ　ｏｎ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ　磁盘目录／订单号２．ｐｅｍ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ　磁盘目录／订单号２．ｋｅｙ；
ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ　５ｍ；
ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ　ＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；
ｓｓｌ＿ｃｉｐｈｅｒｓ　ＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；
ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ　ｏｎ；
ｌｏｃａｔｉｏｎ　／｛
ｒｏｏｔ　ｈｔｍｌ；
ｉｎｄｅｘ　ｉｎｄｅｘ．ｈｔｍｌ　ｉｎｄｅｘ．ｈｔｍ；
｝
｝
通过上述配置在Ｎｇｉｎｘ中支持多个证书

Ａｐａｃｈｅ
＃　Ａｐａｃｈｅ配置ＨＴＴＰＳ虚拟主机共享４４３端口
Ｌｉｓｔｅｎ４４３
ＮａｍｅＶｉｒｔｕａｌＨｏｓｔ＊：４４３
＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
ＳｅｒｖｅｒＮａｍｅ　ｗｗｗ１．ｎｉｏａｙｕｎ．ｃｏｍ
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ　ｃｏｍｍｏｎ．ｃｒｔ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ　ｃｏｍｍｏｎ．ｋｅｙ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ　ｃａ．ｃｒｔ
＜／ＶｉｒｔｕａｌＨｏｓｔ＞
＃在上述基础上，再添加另一段配置，实现第二个虚拟主ＳＳＬ
＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
ＳｅｒｖｅｒＮａｍｅ　ｗｗｗ２．ｎｉａｏｙｕｎ．ｃｏｍ
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ　ｃｏｍｍｏｎ２．ｃｒｔ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ　ｃｏｍｍｏｎ２．ｋｅｙ；
ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ　ｃａ２．ｃｒｔ
＜／ＶｉｒｔｕａｌＨｏｓｔ＞
ｓｓｌ　ｏｎ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ　磁盘目录／订单号１．ｐｅｍ；
ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ　磁盘目录／订单号１．ｋｅｙ；
ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ　５ｍ；
ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ　ＴＬＳｖ１ＴＬＳｖ１．１ＴＬＳｖ１．２；
ｓｓｌ＿ｃｉｐｈｅｒｓ　ＡＥＳＧＣＭ：ＡＬＬ：！ＤＨ：！ＥＸＰＯＲＴ：！ＲＣ４：＋ＨＩＧＨ：！ＭＥＤＩＵＭ：！ＬＯＷ：！ａＮＵＬＬ：！ｅＮＵＬＬ；
ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ　ｏｎ；
ｌｏｃａｔｉｏｎ　／｛
ｒｏｏｔ　ｈｔｍｌ；
ｉｎｄｅｘ　ｉｎｄｅｘ．ｈｔｍｌ　ｉｎｄｅｘ．ｈｔｍ；
｝
｝