Início / server / Perguntas / 648686
Accepted
jl6
Asked: 2014-12-03 13:55:26 +0800 CST

Qual configuração do VirtualHost do apache servirá a um e apenas um domínio sobre SSL?

  • 772

Tenho vários domínios ( example1.com, example2.com, ...) hospedados no mesmo IP. Um desses domínios ( example3.com) possui um certificado SSL e quero servi-lo por HTTPS, mantendo todos os outros sites em HTTP. Eu tenho isso configurado e funcionando corretamente, até agora.

Meu problema é que as solicitações para https://www.example1.com(observe os s) estão sendo tratadas pela seção de configuração do apache para example3.com(que começa <VirtualHost *:443>), o que causa problemas, pois este é um site Django e, entre outras coisas, gera um 400 Bad Request devido a example1.comnão estar em Configuração do Django ALLOWED_HOSTS.

Entendo que a natureza do SSL significa que o Host:cabeçalho não é conhecido até que a conexão segura seja estabelecida. Mas existe uma maneira de fazer com que o apache rejeite quaisquer solicitações por HTTPS que não sejam para example3.com?

Eu esperava o uso da ServerNamediretiva dentro do SSL Virtualhost para restringir essa seção apenas ao host nomeado, mas após uma inspeção mais detalhada dos documentos , parece que é apenas o caso de hosts virtuais baseados em nome.

Editar: tentei adicionar um padrão abrangente como a primeira seção, como o seguinte:

<VirtualHost *:443>
  ServerName default.only
  <Location />
    Require all denied
  </Location>
</VirtualHost>

Isso causa o seguinte erro:

[Thu Dec 04 10:31:27.922801 2014] [mpm_event:notice] [pid 10498:tid 3074255488] AH00491: caught SIGTERM, shutting down
[Thu Dec 04 10:31:29.928483 2014] [ssl:emerg] [pid 30518:tid 3074300544] AH02240: Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] ((null):0)
[Thu Dec 04 10:31:29.928551 2014] [ssl:emerg] [pid 30518:tid 3074300544] AH02312: Fatal error initialising mod_ssl, exiting.
ssl

2 respostas

  1. Como @Polosson disse no comentário, você precisará criar dois hosts virtuais da porta 443 para terminar com esse arranjo.

    O primeiro que você listar será o catch-all para qualquer coisa que chegar na porta 443 -- isso está implícito em listá-lo primeiro. O segundo será usado quando o host for example3.com via ServerName.

    • 1
  2. Best Answer

    Os erros que você postou indicam que você não incluiu a configuração SSL necessária relevante para seus domínios; para quaisquer domínios/subdomínios que pretenda que sejam acessíveis via SSL, terá de fornecer informação relevante para o certificado, etc, na VirtualHost(s) configuração(ões) dos domínios em questão, por exemplo:

    <VirtualHost _default_:443>
    DocumentRoot /var/www/html/example1.com
    ServerName example1.com
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:HIGH:!aNULL:!MD5:!DSS
        SSLHonorCipherOrder on

        SSLCertificateFile /etc/pki/tls/certs/example1certificate.crt
        SSLCertificateKeyFile /etc/pki/tls/private/example1privatekey.key
        SSLCertificateChainFile /etc/pki/tls/certs/certificatechainfile.pem
        SSLCACertificateFile /etc/pki/tls/certs/certificateauthority.pem
</VirtualHost>

    Você precisará então criar VirtualHostsegmentos apropriados para o resto de seus domínios, mas nestes você configurará apenas a porta de escuta para ser 80, sem opções de configuração de SSL, por exemplo:

    <VirtualHost _default_:80>
    DocumentRoot /var/www/html/example2.com
    ServerName example2.com
</VirtualHost>

    Espero que isto ajude!

    PS, as configurações acima para SSLCipherSuitee SSLProtocolsão boas - você pode usá-las para economizar tempo pesquisando outras configurações possíveis, se desejar.

    • 1

relate perguntas