网站首页> 文章专栏> Nginx 配置一个域名使用HTTPS 后其它域名访问HTTPS时也会跳转到该站点
Nginx 配置一个域名使用HTTPS 后其它域名访问HTTPS时也会跳转到该站点
日期:2021-10-09 22:52:11 作者:LonLoc 来源: CSDN 浏览量:109

对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?

遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server { 
  listen 443 ssl; 
  server_name www.example.com; 
  ssl_certificate www.example.com.crt; 
  ... 
} 
server { 
  listen 443 ssl; 
  server_name www.example.com; 
  ssl_certificate www.example.com.crt; 
  ... 
} 


使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.example.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:
server { 
  listen 192.168.1.1 443 ssl; 
  server_name www.example.com; 
  ssl_certificate www.example.com.crt; 
  ... 
} 
server { 
  listen 192.168.1.2 443 ssl; 
  server_name www.example.com; 
  ssl_certificate www.example.com.crt; 
  ... 
} 
那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:
cd /usr/local/nginx-1.0.10/
wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz
tar zxvf openssl-1.0.1e.tar.gz
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=./openssl-1.0.1e --with-openssl-opt="enable-tlsext"
make
make install

安装完扩展后重启nginx并使用nginx -V 查看,出现如下内容则说明开启成功
nginx version: nginx/1.10.1
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) 
built with OpenSSL 1.0.1e 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=./openssl-1.0.1e --with-openssl-opt=enable-tlsext



来说两句吧
最新评论
    热门文章
      随便看看