服務(wù)器多站點(diǎn)多域名HTTPS實(shí)現(xiàn)-宇眾網(wǎng)絡(luò)服務(wù)器

假設(shè)有這樣一個(gè)場(chǎng)景，我們有多個(gè)站點(diǎn)（例如yuzhong．idc．cｏｍ，yuzhong2．idc．ｃｏｍ和yuzhong３．idc．ｃｏｍ）綁定到同一個(gè)ＩＰ：ＰＯＲＴ，并區(qū)分不同的主機(jī)頭。我們?yōu)槊恳粋€(gè)ＳＳＬ站點(diǎn)申請(qǐng)并安裝了證書。在瀏覽網(wǎng)站時(shí)，用戶仍看到證書不匹配的錯(cuò)誤。

ＩＩＳ

當(dāng)一個(gè)ｈｔｔｐｓ的請(qǐng)求到達(dá)ＩＩＳ服務(wù)器時(shí)，ｈｔｔｐｓ請(qǐng)求為加密狀態(tài)，需要拿到相應(yīng)的服務(wù)器證書解密請(qǐng)求。由于每個(gè)站點(diǎn)對(duì)應(yīng)的證書不同，服務(wù)器需要通過請(qǐng)求中不同的主機(jī)頭來判斷需要用哪個(gè)證書解密，然而主機(jī)頭作為請(qǐng)求的一部分也被加密。最終ＩＩＳ只好使用第一個(gè)綁定到該ＩＰ：ＰＯＲＴ的站點(diǎn)證書解密請(qǐng)求，從而有可能造成對(duì)于其他站點(diǎn)的請(qǐng)求失敗而報(bào)錯(cuò)。

解決方案

宇眾網(wǎng)絡(luò)服務(wù)器yelaoxs.com高防扛T級(jí)流量攻擊。

• 第一種解決方案將每個(gè)ｈｔｔｐｓ站點(diǎn)綁定到不同的端口。但是這樣的話客戶端瀏覽網(wǎng)頁時(shí)必須手動(dòng)指定端口，例如ｈｔｔｐｓ：／／ｗｗｗ．idc．ｃｏｍ:666

• 第二種解決方案是為每個(gè)站點(diǎn)分配一個(gè)獨(dú)立的ｉｐ，這樣沖突就解決了，甚至主機(jī)頭也不用添加了。

• 第三種解決方案是使用通配證書。我們采用通配證書頒發(fā)給．ｄｏｍａｉｎ．ｃｏｍ，對(duì)于我們的示例中，應(yīng)該采用頒發(fā)給．ｍａｒｅｉ．ｃｏｍ的證書，這樣任何訪問該ｄｏｍａｉｎ的請(qǐng)求均可以通過該證書解密，證書匹配錯(cuò)誤也就不復(fù)存在了。

• 第四種解決方案是升級(jí)為ＩＩＳ８，ＩＩＳ８中添加的對(duì)于ＳＮＩ（Ｓｅｒｖｅｒ　Ｎａｍｅ?。桑睿洌椋悖幔簦椋铮睿┑闹С郑?wù)器可以通請(qǐng)求中提取出相應(yīng)的主機(jī)頭從而找到相應(yīng)的證書。

   

• Ｎｇｉｎｘ

• 打開?。危纾椋睿“惭b目錄下?。悖铮睿妗∧夸浿写蜷_　ｎｇｉｎｘ．ｃｏｎｆ　文件，找到

• ｓｅｒｖｅｒ?。?/code>
• ｌｉｓｔｅｎ　４４３；
• ｓｅｒｖｅｒ＿ｎａｍｅ　ｄｏｍａｉｎ１；

• 在上述基礎(chǔ)上，再添加另一段配置

   

• ｓｅｒｖｅｒ?。?/code>
• ｌｉｓｔｅｎ?。矗矗常?/code>
• ｓｅｒｖｅｒ＿ｎａｍｅ?。洌铮恚恚幔椋睿玻?/code>
• ｓｓｌ?。铮?；
• ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ　磁盤目錄／訂單號(hào)２．ｐｅｍ；
• ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ　磁盤目錄／訂單號(hào)２．ｋｅｙ；
• ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ?。担?；
• ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ?。裕蹋樱觯保裕蹋樱觯保保裕蹋樱觯保?；
• ｓｓｌ＿ｃｉｐｈｅｒｓ?。粒牛樱牵茫停海粒蹋蹋海。模龋海。牛兀校希遥裕海。遥茫矗海龋桑牵龋海。停牛模桑眨停海。蹋希祝海。幔危眨蹋蹋海。澹危眨蹋?；
• ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ　ｏｎ；
• ｌｏｃａｔｉｏｎ?。?/code>
• ｒｏｏｔ?。瑁簦恚?；
• ｉｎｄｅｘ?。椋睿洌澹瑁簦恚臁。椋睿洌澹瑁簦?；
• ｝
• ｝

• 通過上述配置在Ｎｇｉｎｘ中支持多個(gè)證書

  Ａｐａｃｈｅ

• ＃?。粒穑幔悖瑁迮渲茫龋裕裕校犹摂M主機(jī)共享４４３端口
• Ｌｉｓｔｅｎ４４３
• ＮａｍｅＶｉｒｔｕａｌＨｏｓｔ＊：４４３
• ＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
• ＳｅｒｖｅｒＮａｍｅ　ｗｗｗ１．ｎｉｏａｙｕｎ．ｃｏｍ
• ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ?。悖铮恚恚铮睿悖颍?；
• ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ　ｃｏｍｍｏｎ．ｋｅｙ；
• ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ　ｃａ．ｃｒｔ
• ＜／ＶｉｒｔｕａｌＨｏｓｔ＞
• ＃在上述基礎(chǔ)上，再添加另一段配置，實(shí)現(xiàn)第二個(gè)虛擬主ＳＳＬ
• ＜ＶｉｒｔｕａｌＨｏｓｔ＊：４４３＞
• ＳｅｒｖｅｒＮａｍｅ?。鳎鳎鳎玻睿椋幔铮酰睿悖铮?/code>
• ＳＳＬＣｅｒｔｉｆｉｃａｔｅＦｉｌｅ?。悖铮恚恚铮睿玻悖颍簦?/code>
• ＳＳＬＣｅｒｔｉｆｉｃａｔｅＫｅｙＦｉｌｅ?。悖铮恚恚铮睿玻耄澹?；
• ＳＳＬＣｅｒｔｉｆｉｃａｔｅＣｈａｉｎＦｉｌｅ?。悖幔玻悖颍?/code>
• ＜／ＶｉｒｔｕａｌＨｏｓｔ＞

•  

• ｓｓｌ　ｏｎ；
• ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ　磁盤目錄／訂單號(hào)１．ｐｅｍ；
• ｓｓｌ＿ｃｅｒｔｉｆｉｃａｔｅ＿ｋｅｙ　磁盤目錄／訂單號(hào)１．ｋｅｙ；
• ｓｓｌ＿ｓｅｓｓｉｏｎ＿ｔｉｍｅｏｕｔ?。担恚?/code>
• ｓｓｌ＿ｐｒｏｔｏｃｏｌｓ?。裕蹋樱觯保裕蹋樱觯保保裕蹋樱觯保玻?/code>
• ｓｓｌ＿ｃｉｐｈｅｒｓ?。粒牛樱牵茫停海粒蹋蹋海。模龋海。牛兀校希遥裕海。遥茫矗海龋桑牵龋海。停牛模桑眨停海。蹋希祝海。幔危眨蹋蹋海。澹危眨蹋?；
• ｓｓｌ＿ｐｒｅｆｅｒ＿ｓｅｒｖｅｒ＿ｃｉｐｈｅｒｓ?。铮?；
• ｌｏｃａｔｉｏｎ?。?/code>
• ｒｏｏｔ?。瑁簦恚欤?/code>
• ｉｎｄｅｘ?。椋睿洌澹瑁簦恚臁。椋睿洌澹瑁簦?；

• ｝

• ｝

•