在同一 IP 上使用 SSL 的多个域

我认为如何解释虚拟主机和 SSL/TLS 的真正问题是一个好主意。

当您通过 HTTP 连接到 apache 服务器时，您会发送一组 http 标头。它们看起来像这样：

GET /index.html HTTP/1.1
 Host: www.nice-puppies.com

如果您有虚拟主机，apache 会查看 hosts 字段，然后为您获取正确的 index.html。问题在于添加 SSL/TLS 时。服务器在您发送 http 请求之前设置加密。因此，在完成身份验证/加密之前，服务器不知道您是要去 www.nice-puppies.com 还是 www.evil-haxxor.com。服务器无法猜测（因为发送错误的证书会给您带来令人讨厌的错误消息）。

一种解决方案是通配符证书（如上所述），它对 *.nice-puppies.com 有效。这样你就可以对多个域使用相同的证书，但你不能拥有 *.com 证书（好吧，你可以，但这对其他人来说非常糟糕），所以通常你需要为每个域使用单独的 IP HTTPS 域。

这个问题的真正解决方案是“服务器名称指示”：

http://en.wikipedia.org/wiki/Server_Name_Indication

它才刚刚开始推广到服务器和 Web 客户端，所以它现在还不是你可以使用的东西，但希望在几年后这不会成为一个大问题。

问题是 SSL 证书绑定到 IP 地址而不是主机名。当连接进入 HTTPS 请求的 IP 地址时，第一个操作是通过传递服务器证书和/或客户端证书来建立 SSL 通信。在连接握手的这个阶段，Apache 服务器无法知道将要通过的请求是为了什么。Host这对于 HTTP（非 SSL）流量是不同的，因为在建立连接后，如果客户端发送标头或将其交给第一个配置的虚拟主机，Apache 服务器可以确定要使用的虚拟主机配置。

如果您在同一个域下有多个虚拟主机，您可以在 IP 地址上设置一个通配符证书，并定义多个具有不同服务器名称的虚拟主机；但是，如果这些服务器名称不在同一个域名下，它们会产生客户端服务器错误。这将起作用，因为通配符证书对该域名下的所有主机名都有效。如果域名不同，您将需要另一个 IP 地址，因为为该 IP 地址定义的第一个证书将是为连接客户端提供的证书。

这可以作为 SAN（主题备用名称）添加到一个 ssl 证书中。在我的经验中，我不得不申请组织 sll 证书。我使用了全球标志。

实际上，使用现代软件，您可以使用称为“SNI - 服务器名称指示”的新功能通过单个 IP 地址为多个 HTTPS 站点提供服务。

http://en.wikipedia.org/wiki/Server_Name_Indication

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

我自己还没有使用过它，但它对于内部和 Intranet 站点来说听起来不错。大多数现代浏览器都支持 SNI。IE6 不支持 SNI，但 IE7 支持。

（更正：20100426 - Windows XP 根本不支持 SNI。Windows Vista 及更高版本支持 SNI。请参阅http://msdn.microsoft.com/en-us/library/dd208005%上的“第 2.2.3 节” 28v=PROT.13%29.aspx#id8）。

我正在处理同样的问题。作为我的测试，IE7 和更高版本（仅在 Win7 和 Vista 中）/Chrome/Firefox/Safari/Opera 支持“服务器名称指示”。事实上，如果浏览器使用 Tsl 1.0，它支持“服务器名称指示”。

如果您尝试在同一个 IP 上添加两个证书，则只会在任何地方使用先读证书。一个 IP - 一个 SSL 证书。

如果您想在同一个 IP 上获得更多 SSL 证书，请考虑获得多域（所谓的 UCC - 检查它@godaddy）或通配符（更昂贵）证书。

我认为 OP 正在询问如果他将 SSL 证书添加到具有许多虚拟主机的 IP 会发生什么。如果其他虚拟主机都没有使用 SSL 证书，那么他应该是清楚的。

UC 证书绝对是要走的路：http ://www.sslshopper.com/unified-communications-uc-ssl-certificates.html