ENGLISH 4006-967-446
首页>技术支持>最新数字证书问答 >HTTPS加密协议详解(四):TLS/SSL握手过程

SNI扩展:同一IP如何配置多个HTTPS主机

早期的SSL2.0根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。有一些解决办法,例如申请通配域名证书,对所有同一顶级域名下的二级子域名(*.yourdomain.com)都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

在HTTP协议中,请求的域名作为主机头(Host)放在HTTP Header中,所以服务器端知道应该把请求引向哪个域名,但是早期的SSL做不到这一点,因为在SSL握手的过程中,根本不会有Host的信息,所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境,可能会产生多域名分别配好了证书,但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息,那么补上就是了。

SNI解决了什么问题

SNI(Server Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSL3.0/TLS1.0中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI,需要客户端和服务器端同时满足条件,幸好对于现代浏览器来说,大部分都支持SSL3.0/TLS1.0及以上版本,所以都可以享受SNI带来的便利。

Nginx应用实例

比如:公司域名变更,又要新旧域名同时运行。以Ngnix为例,如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:不论浏览器请求哪个主机,都只会收到默认主机www.example.com的证书。这是由SSL协议引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

那么,在同一个IP上,如何配置多个HTTPS主机呢?

Nginx支持TLS协议的SNI扩展,不过SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

需要重新编译nginx并启用TLS。步骤如下:

查看是否启用:

这样就可以在同一个IP上配置多个HTTPS主机了。实例如下:

这样访问每个虚拟主机都正常。

文章来源:http://www.ttlsa.com/web/multiple-https-host-nginx-with-a-ip-configuration/

相关资讯:

转载-如何正确使用HTTPS加密协议经验分享(二)

SNI 扩展我们知道,在Nginx 中可以通过指定不同的server_name来配置多个站点。HTTP/1.1 协议请求头中的Host 字段可以标识出当前请求属于哪个站点。但是...

转载-如何正确使用HTTPS加密协议经验分享(三)

面向的是现代浏览器;第二篇主要讨论启用HTTPS过程中,在SSL版本、Cipher Suite、证书、SSL 扩展(如 SNI)等方面可能遇到的问题,以及在老旧浏览器下如何...

HTTPS加密协议详解(四):TLS/SSL握手过程

扩展字段 extensions,支持协议与算法的相关参数以及其它辅助信息等,常见的 SNI 就属于扩展字段,后续单独讨论该字段作用。(2).server_hello+server_certificate+sever_...

IIS8.0集中式SSL证书管理: SSL可扩展性和可管理性

此外,云托管和弹性可扩展性,服务器容量必须被添加和被动态删除。当涉及到安全的...推导出相应的证书是由SNI值或主机名的请求的Web站点,并通过它的文件名的证书相...