Home / Questions / 52950
Accepted
Ivan Botero
Asked: 2020-03-04 07:25:47 +0800 CST 2020-03-04 07:25:47 +0800 CST

使用相同的 SSL 证书配置多个 <virtualhost> - Apache

  • 772

我正在配置几个共享相同 SSL 证书的域,内容将位于不同的文件夹中,显然所有内容都将位于同一服务器上。

我的域名是:

example.com(用于网站)

api.example.com(用于 Web 服务)

我通过Let's Encrypt (free)获得了 SSL 证书。

证书是为两个域生成的,因此它可以放在同一个目录中。

/etc/apache2/ssl/example.com/

后来我在 Apache 站点目录中进行了相应的配置。

/etc/apache2/sites-available/

此外,执行站点的激活:

a2ensite example.com

a2ensite api.example.com

网站的结构是:

-> /var/www/
       -> website/
       -> api/

这些是设置:

/etc/apache2/sites-available/example.com

<VirtualHost *:80>

    ServerName  example.com
    DocumentRoot    /var/www/website/

    LogLevel debug
    ErrorLog ${APACHE_LOG_DIR}/example.com/error.log

        <Directory "/var/www/website/">
                Options FollowSymLinks
                AllowOverride None
        </Directory>

</VirtualHost>

<VirtualHost *:443>

    ServerName  example.com
    DocumentRoot    /var/www/website/

    LogLevel debug
    ErrorLog ${APACHE_LOG_DIR}/example.com/error_ssl.log

    SSLEngine on
    SSLCertificateKeyFile   /etc/apache2/ssl/example.com/privkey.pem
    SSLCertificateFile      /etc/apache2/ssl/example.com/cert.pem
    SSLCertificateChainFile /etc/apache2/ssl/example.com/chain.pem

        <Directory "/var/www/website/">
                Options FollowSymLinks
                AllowOverride None
        </Directory>

</VirtualHost>

/etc/apache2/sites-available/api.example.com

<VirtualHost *:80>

    ServerName  api.example.com
    DocumentRoot    /var/www/api/

    #RewriteEngine On
    #RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]

        <Directory "/var/www/api/">
                Options FollowSymLinks
                AllowOverride None
        </Directory>

</VirtualHost>

<VirtualHost *:443>

    ServerName  api.example.com
    DocumentRoot    /var/www/api/

    LogLevel warn
    ErrorLog ${APACHE_LOG_DIR}/error.log

    SSLEngine on
    SSLCertificateKeyFile   /etc/apache2/ssl/example.com/privkey.pem
    SSLCertificateFile      /etc/apache2/ssl/example.com/cert.pem
    SSLCertificateChainFile /etc/apache2/ssl/example.com/chain.pem

        <Directory "/var/www/api/">
                Options FollowSymLinks
                AllowOverride None
        </Directory>

</VirtualHost>

缺点是:

当我在浏览器中访问该站点example.com时,它的内容已打开api.example.com

这引起了我的问题:

我们如何使用同一个 SSL 证书配置多个站点?

apache

1 Answers

  1. Best Answer

    我分享我的解决方案。

    在对这个要求进行了一些搜索后,我找到了这个 Apache 参数。

    SSLStrictSNIVHostCheck

    这让我们知道了一个关于 Apache 的术语。

    SNI

    服务器名称指示

    根据互联网参考,我引用:

    SNI 允许客户端在加密连接之前向服务器发送它希望访问的域的名称。[1]

    这意味着我们必须使SNI我们的服务器能够使用相同的 SSL 证书为多个子域提供服务。

    我们该怎么做呢?

    首先要做的是修改以下文件:

    /etc/apache2/httpd.conf

    在其中我们添加以下内容:

    SSLStrictSNIVHostCheck on

    之后,文件被编辑:

    /etc/apache2/ports.conf

    在其中我们添加以下指令:

    NameVirtualHost *:443

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

    该指令NameVirtualHost *:443更需要添加,因为它下面的内容通常是配置中的默认值ports.conf

    最后,我们保存并重新启动 Apache。

    /etc/init.d/apache2 重启

    在此之后,子域允许它们独立使用并使用相同的 SSL 证书。

    更新

    该指令ServerName指示可以在 中使用的服务器名称之一virtualhost,但我们可以使用另一个指令,如果有多个域使用相同的内容,这将很有用。

    服务器别名

    像这样离开我们的配置。

    ServerName    example.com
ServerAlias   www.example.com
ServerAlias   sitio.example.com

    允许example.com其他站点使用相同的配置。

    • 6