如何为 Apache 上的虚拟主机设置不同的 SSL 证书？

Question

我有一台网络服务器，它服务于不同的域名，但只分配了一个IP地址。 这与 Apache 中的虚拟主机配合得很好。 现在我想要网站的 SSL 加密连接。 如何为不同的虚拟主机设置不同的 SSL 证书？

对不同的主机名使用不同的 IP 将是一种解决方案 - 不是很优雅但可行。 但我想知道如何为不同的虚拟主机使用不同的 SSL 证书。 所以我寻找一种只有一个 IP 地址的解决方案。

Answer 1

更新：2013

随着旧版浏览器的逐渐消失，SNI 似乎终于开始占据主导地位。 以下是 Apache SNI 的文档，这是 关于 SNI 的维基百科文章，其中包含支持它的浏览器的图表。 简而言之，所有主流浏览器都在支持的版本中支持它； 如果支持旧版浏览器很重要，您可能必须考虑到这一点。

-----之前的回答 ------------

SSL 主机必须绑定到唯一的 IP 地址/端口组合，因此您不能使用虚拟主机（或者在至少，每个 IP 地址只能有一个 ssl 主机）。 这是因为 https 在 http 中发送 Host: 参数之前就开始加密，因此它无法从主机名确定要使用哪个密码 - 它拥有的只是 IP 地址。

如果 HTTP 有一个 TLS 命令，这样它就可以在询问主机名后启动 SSL，那么这个问题就很容易解决，但没有人问我。

有关明确的答案，请参阅 http://httpd.apache.org/ docs/2.0/ssl/ssl_faq.html#vhosts2

Answer 2

在给出答案的提示和评论（尤其是 Martin v. Löwis）之后，我做了一些谷歌搜索，发现 此网站有关 RFC 2817 和 RFC 3546。 RFC 3546 似乎是一个很好的解决方案。

Answer 3

AFAIK 不可能使用 mod_ssl 为基于名称的虚拟主机设置不同的 SSL 证书。 您可以在此处阅读详细原因。 另一种方法是使用基于 IP 的虚拟主机（这可能是不可能的/不是一个非常令人满意的解决方案） - 只需插入不同的 SSLCertificateFile 指令，或者您可以尝试 此方法使用mod_gnutls。

Answer 4

每个虚拟主机都需要一个单独的 IP:端口组合。

RFC 3546 尚不可行。 IE 仅在 Vista 下运行时支持它，最后我检查了 Safari 也不管理它。

Answer 5

虽然 DGM 提到的所有内容都是真实的，但已经有人尝试绕过每个证书（包括 mod_gnutls）的唯一 IP 地址的要求，并使用 TLS 扩展。 虽然有一些缺点，但您可能可以接受。

Answer 6

终于可以了！ 您需要服务器和客户端来支持服务器名称指示 (SNI)

支持 SNI 的浏览器：

• Mozilla Firefox 2.0 或更高版本
• Opera 8.0 或更高版本（启用了 TLS 1.1）
• Internet Explorer 7.0 或更高版本（在 Vista 上，而不是 XP）
• Google Chrome
• Safari Mac OS X 10.5.6 上的 3.2.1

此文档展示了配置服务器的方法：SSL with Virtual Hosts using SNI