SNI: 实现多域名虚拟主机的SSL/TLS认证

Posted 席飞剑

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SNI: 实现多域名虚拟主机的SSL/TLS认证相关的知识,希望对你有一定的参考价值。

一、介绍

早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

在HTTP协议中,请求的域名作为主机头(Host)放在HTTP Header中,所以服务器端知道应该把请求引向哪个域名,但是早期的SSL做不到这一点,因为在SSL握手的过程中,根本不会有Host的信息,所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境,可能会产生多域名分别配好了证书,但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息,那么补上就是了。

SNI(Server Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI,需要客户端和服务器端同时满足条件,幸好对于现代浏览器来说,大部分都支持SSLv3/TLSv1,所以都可以享受SNI带来的便利。


二、实例

公司域名更变,同时又要新旧域名同时运行。 那么对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 server      listen            443 ;      server_name     www . example . com ;      ssl             on ;      ssl_certificate www . example . com . crt ;      . . .   server      listen            443 ;      server_name     www . example . org ;      ssl             on ;      ssl_certificate www . example . org . crt ;      . . .

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.example.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 server      listen            192.168.1.1 : 443 ;      server_name     www . example . com ;      ssl             on ;      ssl_certificate www . example . com . crt ;      . . .   server      listen            192.168.1.2 : 443 ;      server_name     www . example . org ;      ssl             on ;      ssl_certificate www . example . org . crt ;      . . nginx和SNI那些事

HTTPS-SSL/TSL与SNI的关系以及同IP多域名虚拟主机的SSL/TSL认证

Azure w/TLS/SNI 上的 .net httpclient:请求被中止:无法创建 SSL/TLS 安全通道

HTTPS原理01 -- SSL/TLS介绍

怎样申请域名SSL证书?

通配符 SSL/TLS 证书

(c)2006-2024 SYSTEM All Rights Reserved IT常识