问题描述

问题场景描述满足以下三个条件:
  • 多个站点绑定到Web服务器的同一个IP地址和同一个端口。
  • 对于客户端的请求,服务器可以区分不同的主机头。
  • 已为每一个SSL站点申请并安装了证书,但在浏览网站时,用户获取到证书不匹配的信息。

问题原因

当一个HTTPS请求到达Web服务器时,该HTTPS请求为加密状态,需要相应的服务器证书解密该HTTPS请求。由于每个站点对应的证书不同,因此服务器需要通过请求中的主机头来选择用来解密的证书。但是主机头作为请求的一部分信息,也被作为加密对象,因此Web服务器选择第一个绑定到指定IP地址和端口的站点,使用该站点证书进行解密,导致Web服务器对其他站点请求解密失败从而发生报错。

解决方案

本文提供了三种Web服务器的解决方案,以下是详细内容。

IIS

您可以在IIS服务器中选择以下四种方法解决问题:
  • 绑定到多端口
    将每个HTTPS站点绑定到同一IP地址的不同端口。例如,将HTTPS站点绑定到[$Domain]:[$Port],但是从客户端浏览网页时必须在地址栏中手动指定端口。
    说明
    • [$Domain]:站点域名。
    • [$Port]:指定端口。
  • 绑定到多IP地址

    将每个HTTPS站点绑定到不同IP地址。此时,不存在请求冲突的情况,同时请求中也可以不添加主机头信息,但是该方法的经济成本较高。

  • 通配证书

    各站点采用通配证书,例如example.aliyundoc.comdemo.aliyundoc.comlearn.aliyundoc.com三个站点可以选择颁发给.aliyundoc.com的证书,此时任何访问各站点的请求都可以通过该证书解密。

  • 升级IIS

    将IIS版本升级到IIS8,IIS8中支持SNI(Server Name Indication)功能,服务器可以从请求中提取出相应的主机头从而获取相应的证书。关于SNI的开启方式,请参见SSL Scalability

Nginx

在Nginx服务器中,可通过增加一个虚拟主机的方式,完成多站点绑定到服务器同一个IP地址和同一个端口,请参考以下操作方法:

  1. 登录Nginx服务器,执行以下命令,打开Nginx配置文件。
    vim [$Nginx_Dir]/conf/nginx.conf
    说明 [$Nginx_Dir]为Nginx的安装目录,默认为/usr/local/nginx
  2. 参考以下配置,编辑配置文件。
    server {
    listen 443;
    server_name [$Domain1];
    ssl on;
    ssl_certificate [$Certificate_Path1];
    ssl_certificate_key [$Key_Path1];
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
    ssl_ciphers [$Ciphers_Suite1];
    ssl_prefer_server_ciphers   on;
    location / {
        root   html;
        index  index.html index.htm;
    }
}server {
    listen 443;
    server_name [$Domain2];
    ssl on;
    ssl_certificate [$Certificate_Path2];
    ssl_certificate_key [$Key_Path2];
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers [$Ciphers_Suite2];
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}

Apache

  1. 登录Apache服务器,执行以下命令,打开ssl.conf配置文件。
    vim [$Apache_Dir]/conf.d/ssl.conf
    说明
    • [$Apache_Dir]为Apache的安装目录,默认为/etc/httpd
    • 若没有找到ssl.conf配置文件,则请执行yum install mod_ssl -y命令,下载SSL相关模块。
    • Apache开启SNI后,需增加SSLStrictSNIVHostCheck off参数。
  2. 参考以下配置,编辑配置文件。
    Listen 443
NameVirtualHost *:443
<VirtualHost *:443>
  ……
ServerName [$Domain1]
SSLCertificateFile     [$Certificate_Path1];
SSLCertificateKeyFile  [$Key_Path1];
SSLCertificateChainFile  [$Certificate_Chain1];
  ……
</VirtualHost>
<VirtualHost *:443>
  ……
ServerName [$Domain1]
SSLCertificateFile     [$Certificate_Path2];
SSLCertificateKeyFile  [$Key_Path2];
SSLCertificateChainFile  [$Certificate_Chain2];
    说明
    • 如果是一个证书包含www.example.comexample.com的情况(例如阿里云的免费证书),建议写成以下格式,否则可能导致带www的域名无法连接。
      • ServerName example.com
      • ServerAlias www.example.com
    • [$Certificate_Chain1]:第一个站点的中级证书捆绑包路径。
    • [$Certificate_Chain2]:第二个站点的中级证书捆绑包路径。
    • 在Apache V2.4.8及更高版本中,SSLCertificateChainFile的配置信息已被SSLCACertificatePath的配置信息替换。

相关文档

适用于

数字证书管理服务