一、介紹
早期的SSLv2根據經典的公鑰基礎設施PKI(Public Key Infrastructure)設計,它默認認爲:一臺服務器(或者說一個IP)只會提供一個服務,所以在SSL握手時,服務器端可以確信客戶端申請的是哪張證書。
但是讓人萬萬沒有想到的是,虛擬主機大力發展起來了,這就造成了一個IP會對應多個域名的情況。解決辦法有一些,例如申請泛域名證書,對所有*.yourdomain.com的域名都可以認證,但如果你還有一個yourdomain.net的域名,那就不行了。
在HTTP協議中,請求的域名作爲主機頭(Host)放在HTTP Header中,所以服務器端知道應該把請求引向哪個域名,但是早期的SSL做不到這一點,因爲在SSL握手的過程中,根本不會有Host的信息,所以服務器端通常返回的是配置中的第一個可用證書。因而一些較老的環境,可能會產生多域名分別配好了證書,但返回的始終是同一個。
既然問題的原因是在SSL握手時缺少主機頭信息,那麼補上就是了。
SNI(Server Name Indication)定義在RFC 4366,是一項用於改善SSL/TLS的技術,在SSLv3/TLSv1中被啓用。它允許客戶端在發起SSL握手請求時(具體說來,是客戶端發出SSL請求中的ClientHello階段),就提交請求的Host信息,使得服務器能夠切換到正確的域並返回相應的證書。
要使用SNI,需要客戶端和服務器端同時滿足條件,幸好對於現代瀏覽器來說,大部分都支持SSLv3/TLSv1,所以都可以享受SNI帶來的便利。
二、實例
公司域名更變,同時又要新舊域名同時運行。 那麼對於https的域名在同一個IP上如何同時存在多個虛擬主機呢?查看了下nginx手冊,有這麼一段內容,如下:
如果在同一個IP上配置多個HTTPS主機,會出現一個很普遍的問題:
server {
listen 443;
server_name www.example.com;
ssl on;
ssl_certificate www.example.com.crt;
...
}
server {
listen 443;
server_name www.example.org;
ssl on;
ssl_certificate www.example.org.crt;
...
}
使用上面的配置,不論瀏覽器請求哪個主機,都只會收到默認主機www.example.com的證書。這是由SSL協議本身的行爲引起的—先建立SSL連接,再發送HTTP請求,所以nginx建立SSL連接時不知道所請求主機的名字,因此,它只會返回默認主機的證書。
最古老的也是最穩定的解決方法就是每個HTTPS主機使用不同的IP地址:
server {
listen 192.168.1.1:443;
server_name www.example.com;
ssl on;
ssl_certificate www.example.com.crt;
...
}
server {
listen 192.168.1.2:443;
server_name www.example.org;
ssl on;
ssl_certificate www.example.org.crt;
...
}
那麼,在同一個IP上,如何配置多個HTTPS主機呢?
nginx支持TLS協議的SNI擴展(Server Name Indication,簡單地說這個擴展使得在同一個IP上可以以不同的證書serv不同的域名)。不過,SNI擴展還必須有客戶端的支持,另外本地的OpenSSL必須支持它。
如果啓用了SSL支持,nginx便會自動識別OpenSSL並啓用SNI。是否啓用SNI支持,是在編譯時由當時的 ssl.h 決定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果編譯時使用的OpenSSL庫支持SNI,則目標系統的OpenSSL庫只要支持它就可以正常使用SNI了。
如果nginx的TLS SNI support 是disabled。
啓用方法如下:
需要重新編譯nginx並啓用TLS。步驟如下:
# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz
# tar zxvf openssl-1.0.1e.tar.gz
# ./configure --prefix=/usr/local/nginx --with-http_ssl_module \
--with-openssl=./openssl-1.0.1e \
--with-openssl-opt="enable-tlsext"
# make
# make install
查看是否啓用:
# /usr/local/nginx/sbin/nginx -V
TLS SNI support enabled
這樣就可以在 同一個IP上配置多個HTTPS主機了。
實例如下:
server {
listen 443;
server_name www.yk.com;
index index.html index.htm index.php;
root /data/wwwroot/www.ttlsa.com/webroot;
ssl on;
ssl_certificate "/usr/local/nginx/conf/ssl/www.ttlsa.com.public.cer";
ssl_certificate_key "/usr/local/nginx/conf/ssl/www.ttlsa.com.private.key";
......
}
server {
listen 443;
server_name www.myweb.com;
index index.html index.htm index.php;
root /data/wwwroot/www.heytool.com/webroot;
ssl on;
ssl_certificate "/usr/local/nginx/conf/ssl/www.heytool.com.public.cer";
ssl_certificate_key "/usr/local/nginx/conf/ssl/www.heytool.com.private.key";
......
}
這樣訪問每個虛擬主機都正常。