国产色产综合色产在线视频,色综合久久婷婷五月,色网在线视频观看播放,九九热视频这里免费看,国产最新AV在线播放不卡

【合理解決】一個(gè)服務(wù)器上用多個(gè)SSL證書(shū)實(shí)現(xiàn)多網(wǎng)站https改造的實(shí)施方案

發(fā)布日期：2021-04-21 訪問(wèn)次數(shù)：

現(xiàn)在不管是微信小程序還是一些其他方面的接口，都強(qiáng)制要求實(shí)現(xiàn)https的鏈接，特別是微信小程序還要求是1.2以上的SSL，基本上就把win2003的服務(wù)器逼上絕路了。

網(wǎng)上也有一些用端口號(hào)的，野狼覺(jué)得都有些強(qiáng)人所難，效果并不好。那么野狼覺(jué)得效果比較好的方案有兩個(gè)：

（1）使用apache服務(wù)器

這個(gè)只是一個(gè)思路，野狼沒(méi)有嘗試過(guò)，應(yīng)該是行得通的。不管你是linux系統(tǒng)還是win系統(tǒng)也都能安裝apache。但如果你對(duì)win系統(tǒng)比較熟悉，不懂linux或者對(duì)于IIS熟悉不太懂a(chǎn)pache等，可能就麻煩一些。

（2）用win2012版本的服務(wù)器

win2003、win2008野狼已經(jīng)驗(yàn)證過(guò)，沒(méi)有辦法實(shí)現(xiàn)一個(gè)服務(wù)器多個(gè)ssl證書(shū)。但是win2012 r2就不一樣了，可以跟綁定普通http域名一樣，寫(xiě)域名頭，這樣就實(shí)現(xiàn)了一個(gè)服務(wù)器上可以用多個(gè)證書(shū)的。

附1：服務(wù)器多站點(diǎn)多域名HTTPS實(shí)現(xiàn)

更新時(shí)間：2017-07-31 14:21:01

假設(shè)有這樣一個(gè)場(chǎng)景，我們有多個(gè)站點(diǎn)(例如site1.marei.com，site2.marei.com和site3.marei.com)綁定到同一個(gè)IP：PORT，并區(qū)分不同的主機(jī)頭。我們?yōu)槊恳粋€(gè)SSL站點(diǎn)申請(qǐng)并安裝了證書(shū)。在瀏覽網(wǎng)站時(shí)，用戶仍看到證書(shū)不匹配的錯(cuò)誤。

1. IIS中實(shí)現(xiàn)

問(wèn)題原因

當(dāng)一個(gè)https的請(qǐng)求到達(dá)IIS服務(wù)器時(shí)，https請(qǐng)求為加密狀態(tài)，需要拿到相應(yīng)的服務(wù)器證書(shū)解密請(qǐng)求。由于每個(gè)站點(diǎn)對(duì)應(yīng)的證書(shū)不同，服務(wù)器需要通過(guò)請(qǐng)求中不同的主機(jī)頭來(lái)判斷需要用哪個(gè)證書(shū)解密，然而主機(jī)頭作為請(qǐng)求的一部分也被加密。最終IIS只好使用第一個(gè)綁定到該IP：PORT的站點(diǎn)證書(shū)解密請(qǐng)求，從而有可能造成對(duì)于其他站點(diǎn)的請(qǐng)求失敗而報(bào)錯(cuò)。

解決方案

第一種解決方案將每個(gè)https站點(diǎn)綁定到不同的端口。但是這樣的話客戶端瀏覽網(wǎng)頁(yè)時(shí)必須手動(dòng)指定端口，例如 https：//site.domain.com:444

第二種解決方案是為每個(gè)站點(diǎn)分配一個(gè)獨(dú)立的ip，這樣沖突就解決了，甚至主機(jī)頭也不用添加了。

第三種解決方案是使用通配證書(shū)。我們采用通配證書(shū)頒發(fā)給.domain.com，對(duì)于我們的示例中，應(yīng)該采用頒發(fā)給.marei.com的證書(shū)，這樣任何訪問(wèn)該domain的請(qǐng)求均可以通過(guò)該證書(shū)解密，證書(shū)匹配錯(cuò)誤也就不復(fù)存在了。

第四種解決方案是升級(jí)為IIS8，IIS8中添加的對(duì)于SNI(Server Name Indication)的支持，服務(wù)器可以通請(qǐng)求中提取出相應(yīng)的主機(jī)頭從而找到相應(yīng)的證書(shū)。

SNI開(kāi)啟方式請(qǐng)參考http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-server-name-indication-sni-ssl-scalability

2. Nginx中實(shí)現(xiàn)

打開(kāi) Nginx 安裝目錄下 conf 目錄中打開(kāi) nginx.conf 文件，找到

server {

listen 443;

server_name domain1;

ssl on;

ssl_certificate 磁盤(pán)目錄/訂單號(hào)1.pem;

ssl_certificate_key 磁盤(pán)目錄/訂單號(hào)1.key;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

在上述基礎(chǔ)上，再添加另一段配置

server {

listen 443;

server_name dommain2;

ssl on;

ssl_certificate 磁盤(pán)目錄/訂單號(hào)2.pem;

ssl_certificate_key 磁盤(pán)目錄/訂單號(hào)2.key;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

通過(guò)上述配置在Nginx中支持多個(gè)證書(shū)

Apache配置HTTPS虛擬主機(jī)共享443端口

Listen 443

NameVirtualHost *:443

……

ServerName www.example1.com

SSLCertificateFile common.crt;

SSLCertificateKeyFile common.key;

SSLCertificateChainFile ca.crt

……

ServerName www.example2.com

SSLCertificateFile common2.crt;

SSLCertificateKeyFile common2.key;

SSLCertificateChainFile ca2.crt

……

附2：IIS6上實(shí)現(xiàn)多域名證書(shū)

檢查WINDOWS2003是否已經(jīng)升級(jí)到SP1以上版本，如果沒(méi)有升級(jí)SP1，則后續(xù)步驟將無(wú)法完成確保使用的證書(shū)是多域名，或者是通配符證書(shū)，兩個(gè)網(wǎng)站必須都使用這個(gè)證書(shū)，如果這個(gè)證書(shū)的CN和SAN不包含著2個(gè)網(wǎng)站的域名，就會(huì)報(bào)警告首先按正常的流程，為站點(diǎn)1，安裝SSL證書(shū)，并將SSL端口配置為443。對(duì)站點(diǎn)2，選擇分配證書(shū)，并選擇站點(diǎn)1使用的證書(shū)，并將SSL端口配置為其他端口號(hào)（444，445，446...)