HTTPS之SNI介绍与Nginx多域名支持

50 阅读 0 评论 33 点赞

我是靠谱客的博主贪玩大叔，最近开发中收集的这篇文章主要介绍HTTPS之SNI介绍与Nginx多域名支持，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

一、介绍

早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计，它默认认为：一台服务器（或者说一个IP）只会提供一个服务，所以在SSL握手时，服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是，虚拟主机大力发展起来了，这就造成了一个IP会对应多个域名的情况。解决办法有一些，例如申请泛域名证书，对所有*.yourdomain.com的域名都可以认证，但如果你还有一个yourdomain.net的域名，那就不行了。

在HTTP协议中，请求的域名作为主机头（Host）放在HTTP Header中，所以服务器端知道应该把请求引向哪个域名，但是早期的SSL做不到这一点，因为在SSL握手的过程中，根本不会有Host的信息，所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境，可能会产生多域名分别配好了证书，但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息，那么补上就是了。

SNI（Server Name Indication）定义在RFC 4366，是一项用于改善SSL/TLS的技术，在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时（具体说来，是客户端发出SSL请求中的ClientHello阶段），就提交请求的Host信息，使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI，需要客户端和服务器端同时满足条件，幸好对于现代浏览器来说，大部分都支持SSLv3/TLSv1，所以都可以享受SNI带来的便利。

二、实例
公司域名更变，同时又要新旧域名同时运行。那么对于https的域名在同一个IP上如何同时存在多个虚拟主机呢？查看了下nginx手册，有这么一段内容，如下：
如果在同一个IP上配置多个HTTPS主机，会出现一个很普遍的问题：

server {

    listen          443;
    server_name     www.example.com;
    ssl             on;
    ssl_certificate www.example.com.crt;
    ...

}

 
server {
    listen          443;
    server_name     www.example.org;
    ssl             on;

    ssl_certificate www.example.org.crt;
    ...
}

使用上面的配置，不论浏览器请求哪个主机，都只会收到默认主机www.example.com的证书。这是由SSL协议本身的行为引起的—先建立SSL连接，再发送HTTP请求，所以nginx建立SSL连接时不知道所请求主机的名字，因此，它只会返回默认主机的证书。
最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址：


server {
    listen          192.168.1.1:443;
    server_name     www.example.com;
    ssl             on;
    ssl_certificate www.example.com.crt;
    ...

}

server {

    listen          192.168.1.2:443;
    server_name     www.example.org;
    ssl             on;
    ssl_certificate www.example.org.crt;
    ...

}

那么，在同一个IP上，如何配置多个HTTPS主机呢？
nginx支持TLS协议的SNI扩展（Server Name Indication，简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名）。不过，SNI扩展还必须有客户端的支持，另外本地的OpenSSL必须支持它。

如果启用了SSL支持，nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持，是在编译时由当时的 ssl.h 决定的（SSL_CTRL_SET_TLSEXT_HOSTNAME），如果编译时使用的OpenSSL库支持SNI，则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

如果nginx的TLS SNI support 是disabled。

启用方法如下：

需要重新编译nginx并启用TLS。步骤如下：

# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz
# tar zxvf openssl-1.0.1e.tar.gz
# ./configure --prefix=/usr/local/nginx --with-http_ssl_module
--with-openssl=./openssl-1.0.1e

--with-openssl-opt="enable-tlsext"
# make
# make install
查看是否启用：
# /usr/local/nginx/sbin/nginx -V
TLS SNI support enabled
这样就可以在同一个IP上配置多个HTTPS主机了。
实例如下：

server  {
	listen 443;
	server_name   www.yk.com;
	index index.html index.htm index.php;
	root  /data/wwwroot/www.ttlsa.com/webroot;
	ssl on;
	ssl_certificate "/usr/local/nginx/conf/ssl/www.ttlsa.com.public.cer";
	ssl_certificate_key "/usr/local/nginx/conf/ssl/www.ttlsa.com.private.key";  
	......

}

server  {
	listen 443;
	server_name   www.myweb.com;
	index index.html index.htm index.php;
	root  /data/wwwroot/www.heytool.com/webroot;
	ssl on;
	ssl_certificate "/usr/local/nginx/conf/ssl/www.heytool.com.public.cer";
	ssl_certificate_key "/usr/local/nginx/conf/ssl/www.heytool.com.private.key";  
	......
}

这样访问每个虚拟主机都正常。