nginx 同一个IP上配置多个HTTPS主机
Nginx 配置一个域名使用HTTPS 后其它域名访问HTTPS时也会跳转到该站点
对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?
遂,查看了下nginx手册,有这么一段内容,如下:
如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:
server {listen443 ssl;server_name;ssl_certificate .crt;...}server {listen443 ssl;server_name;ssl_certificate .crt;...}
使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。
最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:
server {listen192.168.1.1:443 ssl;server_name;ssl_certificate .crt;...}server {listen192.168.1.2:443 ssl;server_name;ssl_certificate .crt;...}
那么,在同一个IP上,如何配置多个HTTPS主机呢?
nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。
如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。
nginx在默认情况下是TLS SNI support disabled。
启用方法:
需要重新编译nginx并启用TLS。步骤如下:
cd /usr/local/nginx-1.0.10/
wget /source/openssl-1.0.1e.tar.gz
tar zxvf openssl-1.0.1e.tar.gz
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=./openssl-1.0.1e --with-openssl-opt="enable-tlsext"
make
make install
安装完扩展后重启nginx并使用nginx -V 查看,出现如下内容则说明开启成功
nginx version: nginx/1.10.1
built by gcc 4.4.7 0313 (Red Hat 4.4.7-23) (GCC)
built with OpenSSL 1.0.1e 11 Feb
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=./openssl-1.0.1e --with-openssl-opt=enable-tlsext
此时申请ssl证书(阿里云可免费申请)
并配置nginx即可,nginx配置示例如下:
server {
listen 80;
server_name ;
charset utf-8;
location / {
root /var/www/xxx/xxx/xxx/;
index index.html index.htm index.php ;
try_files $uri $uri/ /index.html;
}
}
server {
listen 443;
server_name ;
index index.html index.htm index.php;
root /var/www/xxx/xxx/xxx/;
ssl on;
ssl_certificate /usr/local/nginx/conf/conf.d/nginxca/.pem;
ssl_certificate_key /usr/local/nginx/conf/conf.d/nginxca/.key;
# https重定向到http
# if ($server_port = "443") {
# return 302 http://$host$request_uri;
# }
}
Done!
