首页 > 系统管理 > Nginx 同一个IP上配置多个HTTPS主机
2018
06-06

Nginx 同一个IP上配置多个HTTPS主机

有时同一台设备上的多个域名需要使用ssl服务,那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?查看了下nginx手册,有这么一段内容,如下:

 如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

 

server {
 
 listen 443;
 
 server_name www.tshare365.com;
 
 ssl on;
 
 ssl_certificate www.tshare365.com.crt;
 
}
 
server {
 
 listen 443;
 
 server_name zd.tshare365.com;
 
 ssl on;
 
 ssl_certificate zd.tshare365.crt;
 
}

 

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.quwenqing.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

 

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址: 

 

 server {
 
 listen 192.168.1.1:443;
 
 server_name www.tshare365.com;
 
 ssl on;
 
 ssl_certificate www.tshare365.crt;
 
}
 
server {
 
 listen 192.168.1.2:443;
 
 server_name  zd.tshare365.com.;
 
 ssl on;
 
 ssl_certificate zd.tshare365.com.crt;
 
}

 

那么,在同一个IP上,如何配置多个HTTPS主机呢?

 

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它

 

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

 

nginx在默认情况下是TLS SNI support disabled。

 

启用方法:

 

需要重新编译nginx并启用TLS。步骤如下:

 

对于centos 5.x (测试环境是5.4),需要先编译安装openssl高版本 

wget https://www.openssl.org/source/old/1.0.2/openssl-1.0.2n.tar.gz --no-check-certificate
 tar xf openssl-1.0.2n.tar.gz  -C /usr/local/

Nginx 重新编译  增加如下参数

通过nginx -V 查看之前的参数 在增加如下参数 (指定openssl的源码目录)

--with-openssl=/usr/local/openssl-1.0.2n  --with-openssl-opt="enable-tlsext"

 对于centos 6.x 直接编译nginx 增加如下参数(测试环境是6.2) 

 --with-openssl-opt="enable-tlsext"

备份旧的nginx程序

cp /usr/local/nginx/sbin/nginx/usr/local/nginx/sbin/nginx.bak

把新的nginx程序覆盖旧的

cp objs/nginx /usr/local/nginx/sbin/nginx
#\cp objs/nginx /usr/local/nginx/sbin/nginx
如果提示“cp:cannot create regular file `/usr/local/nginx/sbin/nginx': Text file busy”
建议使用如下语句cp
#cp -rfp objs/nginx /usr/local/nginx/sbin/nginx

  

查看是否启用:

 

nginx -V
nginx version: nginx/1.4.6built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) 
TLS SNI support enabled

 

这样就可以在 同一个IP上配置多个HTTPS主机了。

 

这样访问每个虚拟主机都正常。

 

注意:目前如果使用xp上的IE去访问的话还是会提示证书有问题,因为xp上任何版本的IE都不支持TLS SNI。




最后编辑:
作者:tshare365
这个作者貌似有点懒,什么都没有留下。
捐 赠您的支持是博主写作最大的动力,如果您喜欢我的文章,感觉我的文章对您有帮助,请狠狠点击

留下一个回复