Apache SSL мультидоменный

Question

У нас есть веб-приложение, которое размещает несколько сайтов для наших клиентов в разных доменах.Все эти домены размещены на одном Apache vhost, программное обеспечение осуществляет логическое разделение на разные сайты.

Мы хотели бы предложить ssl-поддержку для некоторых из этих виртуальных сайтов.Как правило, это не должно быть проблемой, так как после установления ssl-соединения программное обеспечение может использовать заголовок host: для маршрутизации на правильный веб-сайт.

Но: как я могу сказать apache, чтобы он обслуживал правильный сертификат, в зависимости отна запрошенном хосте?

Есть ли возможность сопоставить сертификаты с доменами, например, с чем-то вроде:

SSLCertificateFile file

Вся помощь приветствуется!

Answer 1

В дополнение к тому, что сказал @bobince, вы можете иметь несколько имен хостов в одном сертификате (необязательно с подстановочными знаками или поддоменами), используя несколько записей DNS в дополнительном расширении имени субъекта. (ЦС могут взимать гораздо более высокую плату за этот тип сертификата).

Answer 2

Вам потребуется использовать отдельный IP-адрес для каждого домена SSL. Вы можете установить SSLCertificateFile в порядке для VirtualHost, который имеет комбинацию IP: порт для себя.

HTTPS ограничивается тем, что выбор сертификата для защиты соединения происходит за до , когда клиент передает Host: заголовок запроса (это необходимо, поскольку заголовки также шифруются). Таким образом, вы не можете иметь более одного имени хоста на один IP-адрес (за исключением сертификатов с подстановочными знаками, и это дает только субдомены).

Расширение SSL, известное как SNI , решает эту проблему, но в настоящее время поддержка браузера недостаточно хороша для публичного развертывания.

Answer 3

Это невозможно.Поскольку заголовок узла отправляется только после настройки соединения SSL, сервер не может обслуживать сертификат SSL в зависимости от узла.

Индикация имени сервера пытается это исправить, ноне реализовано во всех браузерах.