我会用一个例子来问这个问题——我有一个设置,nginx,django,apache(nginx 将 ssl 请求转发到 apache)
我有一个网站https://www.xyz.com,它有一个与之关联的 ssl 证书,客户端在连接时使用它。 比方说,我有另一个域名 www.abc.com,我想将它分配给与 xyz.com 相同的服务器
也就是说,当用户在浏览器中输入https://www.abc.com/ 时,它应该会显示与https://www.xyz.com/ 相同的网站。
现在要实现这一点,我需要购买另一个 ssl 证书吗?如果我这样做,我将如何更改 http.conf 文件以将此新证书用于另一个 url?
或者我可以使用其他方法吗?
【问题讨论】:
只要 www.abc.com 和 www.xyz.com 有不同的 IP 地址,您就可以从同一个 httpd 实例托管它们。您将需要两个证书(除非两者都是公共域的子域并且您获得了通配符证书)。将它们设置为两个基于 IP 的虚拟主机,具有相同的内容。
请参阅http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts 了解原因。
<VirtualHost 127.0.0.1:443>
SSLEngine on
SSLCertificateFile /etc/ssl/www.abc.com.crt
SSLCertificateKeyFile /etc/ssl/www.abc.com.key
# etc
</VirtualHost>
<VirtualHost 127.0.0.2:443>
SSLEngine on
SSLCertificateFile /etc/ssl/www.xyz.com.crt
SSLCertificateKeyFile /etc/ssl/www.xyz.com.key
# etc
</VirtualHost>
【讨论】:
您真的尝试过询问 Google 吗?我的第一个热门歌曲是:http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
在 apache wiki 上。
如果您有多个 IP 地址,我建议您使用基于 IP 地址的 SSL 而不是基于名称的 SSL,因为旧客户端(XP 上的 IE)不支持 SNI。
【讨论】:
(我正在复制/粘贴我自己对this question 的答案的略微修改版本。到目前为止,现有答案中没有建议的是使用多个主题替代名称。)
简单的方法是能够在两个不同的 IP 地址(可能是同一台机器)上托管 www.abc.com 和 www.xyz.com,在这种情况下,您可以为每个地址配置不同的证书。
如果您被限制为两个名称只有一个 IP 地址(和端口),如果您想使用两个不同的证书,则需要使用 Server Name Indication (SNI) 扩展,它是相对较新的(并且可能并非所有浏览器都支持,但它似乎适用于最近的浏览器)。
如果您不能使用 SNI,则需要相同的证书同时对 www.abc.com 和 www.xyz.com 有效,这可以通过将两个 DNS 条目放在主题备用名称中来实现扩展名,或者如果两个主机的模式合适,则可能使用通配符(请注意,如果通配符用于两个不同的域而不是子域,则不太可能接受)。这两个选项可能比使用商业 CA 的两个不同证书更昂贵。
【讨论】:
我最终为两个域购买了单个多域证书 (UCC)。 并修改了 nginx 配置,将两个站点指向同一个 Apache 服务器。
因为我在 Apache 前面有 nginx,所以我不需要更改 http.conf 配置。
【讨论】: