隨著虛擬主機技術的發展,功能越來越豐富,已經不僅僅只是滿足個人**的需要,越來越多的小型電子商務**也採用了虛擬主機來建站,如何為這些商戶提供經濟、方便的ssl解決方案,成為虛擬主機**商的業務新增長點。
為什麼我不能在相同ip位址下多個網域名稱的虛擬主機上使用ssl?
ssl協議層是在http協議層下面的,當ssl連線建立時,ssl模組在web模組之前和瀏覽器進行通訊並交換證書、建立加密隧道。眾所周知,web伺服器是通過http資料報中的」host」欄位來區分虛擬主機的。而ssl模組在把伺服器證書傳送到瀏覽器時,還沒有收到任何關於http的資料報,更不知道虛擬主機的網域名稱,因此ssl模組只能固定的將一張ssl證書傳送到瀏覽器,而不能根據網域名稱有選擇性的傳送證書。因此,您無法在乙個ip位址的預設ssl 443埠下為多個虛擬主機配置多張證書。
由於乙個ip與乙個埠號只能對應一張證書,因此我們可以採用以下方式來解決:
1、為需要ssl加密的虛擬主機配置不同的ip位址,埠號都使用443。例如: www.domain1.com 的ssl使用 202.96.101.1:443 www.domain2.com的ssl使用 202.96.101.2:443,通過 和 訪問這2個ssl**了
2、如果只有乙個ip位址,可以為多個**配置不同的ssl埠。例如: www.domain1.com 的ssl使用 202.96.101.1:443 www.domain2.com的ssl使用 202.96.101.1:1000,通過 和 :1000 訪問這2個ssl**了
如果多個虛擬主機是1個主網域名稱下的多個子網域名稱,情況發生了轉變,因為你可以申請萬用字元ssl證書。
例如: 有2個虛擬主機 abc.domain.com、xyz.domain.com,你申請一張 *.domain.com的證書,按照前面所說的原理,2個虛擬主機都使用同乙個ip和預設的443埠,當瀏覽器訪問ip:443埠時,ssl模組把萬用字元ssl證書傳送給瀏覽器,建立合法的ssl隧道,然後web模組接收到http資料報時判斷網域名稱選擇虛擬主機。
原理是ok的,不幸的是你無法按照這個原理對iis進行配置,iis不支援ssl埠配置網域名稱。如果僅依靠iis,你不得不使用上面的2個方法(不同的ip位址或者不同的埠號)。
如果僅有1個ip位址,採用方法2時,abc.domain.com 使用 443埠、xyz.domain.com使用1000埠,你會發現乙個現象,由於ssl埠不區分網域名稱,因此還是都是指向abc.domain.com**內容,而:1000還是:1000都是指向xyz.domain.com**內容的。當然這也有好處,你可以在abc.domain.com下放乙個程式,程式判斷一下網域名稱,如果使用者訪問就馬上跳轉到:1000,不會有任何的安全警告。
幸運的是,通過ssl反向**伺服器,你可以解決這個問題。就是使用第三方的ssl模組來替代iis處理ssl加密,將證書安裝反向**伺服器中,瀏覽器訪問ssl反向**伺服器,然後反向**伺服器使用http協議訪問你的web伺服器。你可以選擇ssl反向**硬軟體有:
1、支援ssl的負載均衡器,如f5、arraynetworks
2、使用isa server 2004軟體,參見:這裡。
3、使用免費的squid軟體,參見:這裡。
4、使用免費的stunnel軟體,參見: 這裡。
5、使用porttunnel軟體,參見: 這裡。
lnmp虛擬主機安全配置研究
眾所周知,虛擬主機的安全不好做,特別是防止跨目錄成為了重點。apache php伺服器防止跨目錄的方式比較簡單,網上的所有成熟虛擬主機解決方案都是基於apache的,如directadmin cpanel。但如今已然不是apache的時代了,在linux nginx mysql php下怎麼防止不同...
mysql虛擬主機 虛擬主機有mysql嗎
mysql是一種開放源 的關係型資料庫管理系統 rdbms 使用最常用的資料庫管理語言 結構化查詢語言 sql 進行資料庫管理。mysql因為其速度 可靠性和適應性而備受關注。大多數人都認為在不需要事務化處理的情況下,mysql是管理內容最好的選擇。mysql所使用的 sql 語言是用於訪問資料庫的...
mysql和虛擬主機區別 虛擬主機mysql
推薦您看看下面的幾條,再做選擇 一 虛擬主機速度 這個是我們最關心的,一般的虛擬主機服務商都有演示的ip或者站點,咱們就可以ping它,看它的鏈結速度如何,一般的話國內的60ms,國外的200ms左右的話都算正常的,當然這個只是乙個大方面,還需要開啟站點測試一下,注意能選擇雙線空間最好,因為現在國內...