最近公司域名更變,同時,又要新舊域名同時運行。 那麼,對於https的域名在同一個IP上如何同時存在多個虛擬主機呢?遂,查看了下nginx手冊,有這麼一段內容,如下:
如果在同一個IP上配置多個HTTPS主機,會出現一個很普遍的問題:
server_name www.example.com; |
ssl_certificate www.example.com.crt; |
server_name www.example.org; |
ssl_certificate www.example.org.crt; |
使用上面的配置,不論瀏覽器請求哪個主機,都只會收到默認主機www.example.com的證書。這是由SSL協議本身的行爲引起的——先建立SSL連接,再發送HTTP請求,所以nginx建立SSL連接時不知道所請求主機的名字,因此,它只會返回默認主機的證書。
最古老的也是最穩定的解決方法就是每個HTTPS主機使用不同的IP地址:
server_name www.example.com; |
ssl_certificate www.example.com.crt; |
server_name www.example.org; |
ssl_certificate www.example.org.crt; |
那麼,在同一個IP上,如何配置多個HTTPS主機呢?
nginx支持TLS協議的SNI擴展(Server Name Indication,簡單地說這個擴展使得在同一個IP上可以以不同的證書serv不同的域名)。不過,SNI擴展還必須有客戶端的支持,另外本地的OpenSSL必須支持它。
如果啓用了SSL支持,nginx便會自動識別OpenSSL並啓用SNI。是否啓用SNI支持,是在編譯時由當時的 ssl.h 決定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果編譯時使用的OpenSSL庫支持SNI,則目標系統的OpenSSL庫只要支持它就可以正常使用SNI了。
nginx在默認情況下是TLS SNI support disabled。
啓用方法:
需要重新編譯nginx並啓用TLS。步驟如下:
# tar zxvf openssl-1.0.1e.tar.gz |
# ./configure --prefix=/usr/local/nginx --with-http_ssl_module \ |
--with-openssl=./openssl-1.0.1e \ |
--with-openssl-opt="enable-tlsext" |
查看是否啓用:
這樣就可以在 同一個IP上配置多個HTTPS主機了。
實例如下:
server_name www.ttlsa.com; |
index index.html index.htm index.php; |
root /data/wwwroot/www.ttlsa.com/webroot; |
ssl_certificate "/usr/local/nginx/conf/ssl/www.ttlsa.com.public.cer"; |
ssl_certificate_key "/usr/local/nginx/conf/ssl/www.ttlsa.com.private.key"; |
server_name www.heytool.com; |
index index.html index.htm index.php; |
root /data/wwwroot/www.heytool.com/webroot; |
ssl_certificate "/usr/local/nginx/conf/ssl/www.heytool.com.public.cer"; |
ssl_certificate_key "/usr/local/nginx/conf/ssl/www.heytool.com.private.key"; |
這樣訪問每個虛擬主機都正常。
轉載請註明來自運維生存時間: http://www.ttlsa.com/html/4288.html
