公司域名更變,同時,又要新舊域名同時運行。 那么,對于https的域名在同一個IP上如何同時存在多個虛擬主機呢?遂,查看了下nginx手冊,有這么一段內容,如下:
如果在同一個IP上配置多個HTTPS主機,會出現一個很普遍的問題:
server {
listen 443;
server_name www.example.com;
ssl on;
ssl_certificate www.example.com.crt;
...
}
server {
listen 443;
server_name www.example.org;
ssl on;
ssl_certificate www.example.org.crt;
...
}
使用上面的配置,不論瀏覽器請求哪個主機,都只會收到默認主機www.example.com的證書。這是由SSL協議本身的行為引起的——先建立SSL連接,再發送HTTP請求,所以nginx建立SSL連接時不知道所請求主機的名字,因此,它只會返回默認主機的證書。
最古老的也是最穩定的解決方法就是每個HTTPS主機使用不同的IP地址:
server {
listen 192.168.1.1:443;
server_name www.example.com;
ssl on;
ssl_certificate www.example.com.crt;
...
}
server {
listen 192.168.1.2:443;
server_name www.example.org;
ssl on;
ssl_certificate www.example.org.crt;
...
}
那么,在同一個IP上,如何配置多個HTTPS主機呢?
nginx支持TLS協議的SNI擴展(Server Name Indication,簡單地說這個擴展使得在同一個IP上可以以不同的證書serv不同的域名)。不過,SNI擴展還必須有客戶端的支持,另外本地的OpenSSL必須支持它。
如果啟用了SSL支持,nginx便會自動識別OpenSSL并啟用SNI。是否啟用SNI支持,是在編譯時由當時的 ssl.h 決定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果編譯時使用的OpenSSL庫支持SNI,則目標系統的OpenSSL庫只要支持它就可以正常使用SNI了。
nginx在默認情況下是TLS SNI support disabled。
啟用方法:
需要重新編譯nginx并啟用TLS。步驟如下:
# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz
# tar zxvf openssl-1.0.1e.tar.gz
# ./configure --prefix=/usr/local/nginx --with-http_ssl_module /
--with-openssl=./openssl-1.0.1e /
--with-openssl-opt="enable-tlsext"
# make
# make install
查看是否啟用:
# /usr/local/nginx/sbin/nginx -V
TLS SNI support enabled
這樣就可以在 同一個IP上配置多個HTTPS主機了。
實例如下:
server {
listen 443;
server_name www.ttlsa.com;
index index.html index.htm index.php;
root /data/wwwroot/www.ttlsa.com/webroot;
ssl on;
ssl_certificate "/usr/local/nginx/conf/ssl/www.ttlsa.com.public.cer";
ssl_certificate_key "/usr/local/nginx/conf/ssl/www.ttlsa.com.private.key";
......
}
server {
listen 443;
server_name www.heytool.com;
index index.html index.htm index.php;
root /data/wwwroot/www.heytool.com/webroot;
ssl on;
ssl_certificate "/usr/local/nginx/conf/ssl/www.heytool.com.public.cer";
ssl_certificate_key "/usr/local/nginx/conf/ssl/www.heytool.com.private.key";
......
}
這樣訪問每個虛擬主機都正常。
