Apache 文檔中提到,不能在單個 IP上同時有多個按名字識别的虛拟主機("named virtual host"),其實不完全是這樣了。
使用SNI
SNI全稱Server Name Indication(伺服器名稱訓示),這個問題可以解決apache中的單IP多HTTPS虛拟主機,隻有預設第一個站點的SSL生效的問題。但是這些技術需要浏覽器的版本支援
支援SNI的浏覽器
- Mozilla Firefox 2.0 or later
- Opera 8.0 or later (the TLS 1.1 protocol must be enabled)
- Internet Explorer 7 (Vista, not XP) or later
- Google Chrome (Vista, not XP) (NOT Chromium)
- Safari 3.2.1 Mac OS X 10.5.6
支援SNI的web容器
- apache版本在2.2.12以上
- 需要mod_gnutls或者mod_ssl子產品的支援
- Openssl在0.9.8j後的版本也都支援了SNI的功能
配置Apache
- 打開Apache/conf/extra/httpd-vhost.conf檔案并找到以下參數進行配置。
Listen 443
NameVirtualHost *:443
<VirtualHost *:443>
ServerName www.test1.com
SSLOptions StrictRequire
DocumentRoot /path/to/ssl/enabled/site
SSLProtocol all -SSLv2 -SSLv3
#這裡我們同時禁用了SSLv2、SSLv3不安全的協定
SSLHonorCipherOrder on
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLCertificateFile conf/server.crt
SSLCertificateKeyFile conf/server.key
SSLCertificateChainFile conf/ca.crt
#預設SSLCertificateChainFile會被注釋,請删除行首的“#”号注釋符,并将CA憑證ca.crt配置到該路徑下
<Directory /path/to/ssl/enabled/site/>
SSLRequireSSL
Order Deny,Allow
Allow from All
</Directory>
</VirtualHost>
<VirtualHost *:443>
ServerName www.test2.com
SSLOptions StrictRequire
DocumentRoot /path/to/other/ssl/enabled/site
SSLProtocol all -SSLv2 -SSLv3
#這裡我們同時禁用了SSLv2、SSLv3不安全的協定
SSLHonorCipherOrder on
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLCertificateFile conf/server.crt
SSLCertificateKeyFile conf/server.key
SSLCertificateChainFile conf/ca.crt
#預設SSLCertificateChainFile會被注釋,請删除行首的“#”号注釋符,并将CA憑證ca.crt配置到該路徑下
<Directory /path/to/other/ssl/enabled/site/>
SSLRequireSSL
Order Deny,Allow
Allow from All
</Directory>
</VirtualHost> 最後,儲存 httpd-vhost.conf 檔案并退出,使用https方式通路網站,測試證書配置是否成功。
![今日頭條iOS用戶端啟動速度優化 技術調研 實測資料[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)