nginx 多個HTTPS主機如何配置在同一個IP上？

2024-08-30 12:22:50

字體：大中小

來源：轉載

供稿：網友

　　公司域名更變，同時，又要新舊域名同時運行。那么，對于https的域名在同一個IP上如何同時存在多個虛擬主機呢？遂，查看了下nginx手冊，有這么一段內容，如下：

　　如果在同一個IP上配置多個HTTPS主機，會出現一個很普遍的問題：

　　server {

　　listen 443;

　　server_name www.example.com;

　　ssl on;

　　ssl_certificate www.example.com.crt;

　　...

　　}

　　server {

　　listen 443;

　　server_name www.example.org;

　　ssl on;

　　ssl_certificate www.example.org.crt;

　　...

　　}

　　使用上面的配置，不論瀏覽器請求哪個主機，都只會收到默認主機www.example.com的證書。這是由SSL協議本身的行為引起的——先建立SSL連接，再發送HTTP請求，所以nginx建立SSL連接時不知道所請求主機的名字，因此，它只會返回默認主機的證書。

　　最古老的也是最穩定的解決方法就是每個HTTPS主機使用不同的IP地址：

　　server {

　　listen 192.168.1.1:443;

　　server_name www.example.com;

　　ssl on;

　　ssl_certificate www.example.com.crt;

　　...

　　}

　　server {

　　listen 192.168.1.2:443;

　　server_name www.example.org;

　　ssl on;

　　ssl_certificate www.example.org.crt;

　　...

　　}

　　那么，在同一個IP上，如何配置多個HTTPS主機呢？

　　nginx支持TLS協議的SNI擴展（Server Name Indication，簡單地說這個擴展使得在同一個IP上可以以不同的證書serv不同的域名）。不過，SNI擴展還必須有客戶端的支持，另外本地的OpenSSL必須支持它。

　　如果啟用了SSL支持，nginx便會自動識別OpenSSL并啟用SNI。是否啟用SNI支持，是在編譯時由當時的 ssl.h 決定的（SSL_CTRL_SET_TLSEXT_HOSTNAME），如果編譯時使用的OpenSSL庫支持SNI，則目標系統的OpenSSL庫只要支持它就可以正常使用SNI了。

　　nginx在默認情況下是TLS SNI support disabled。

　　啟用方法：

　　需要重新編譯nginx并啟用TLS。步驟如下：

　　# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz

　　# tar zxvf openssl-1.0.1e.tar.gz

　　# ./configure --prefix=/usr/local/nginx --with-http_ssl_module /

　　--with-openssl=./openssl-1.0.1e /

　　--with-openssl-opt="enable-tlsext"

　　# make

　　# make install

　　查看是否啟用：

　　# /usr/local/nginx/sbin/nginx -V