Cal*_*dge 4 ubuntu ssl mod-ssl sni apache-2.2
我知道有大量关于同一 IP 上多个 SSL 的帖子,但我保证我不会打败死马。我的问题很清楚。首先介绍一下背景...
我们的组织有几个电子商务网站。所有这些站点都运行在同一个 IP 上,使用 SNI 作为基于名称的虚拟主机。在大多数情况下,这很好用。但是,在某些浏览器(ie7 / ie8,但出于某种原因仅在特定机器上)中,我们收到报告称用户看到域与 SSL 证书不匹配。原来他们看到的是按字母顺序排列的第一个 SSL 主机的 SSL 证书,因为 Apache 首先解析 IP 地址,然后抓取它认为是正确的虚拟主机文件。
我对 SSL 协议做了一些实验,发现如果我这样设置它 (ssl.conf):
SSL 协议 TLSv1
然后我只是在 IE 中找不到任何 https 域。
如果我在 ports.conf 中设置 SSLStrictSNIVHostCheck
SSLStrictSNIVHostCheck on
然后我会在有问题的浏览器中获得拒绝的权限。
问题显然是 IE 不支持或不使用 TLSv1 协议或 SNI,而这两者都是需要的。所以我的问题是...
我是否可以进行配置更改以支持 IE,也许在不同的协议下,或者是我唯一的选择为每个需要 SSL 的虚拟主机使用单独的 IP?
提前致谢 = )
不幸的是,SNI 支持仍然相当缺乏。您没有指定,但我敢打赌,您有问题的 IE 浏览器是在 Windows XP 机器上,是吗?Windows XP(或更早版本)上的任何版本的 IE 都不支持 SNI;只有 Vista 及更高版本支持,并且仅在 IE 7 及更高版本中支持。
有关支持 SNI 的浏览器列表,请参见此处。
我的建议:如果您需要支持缺乏 SNI 支持的客户端(并且 XP 系统的数量仍然存在,您很可能确实需要这样做),那么您将不得不实施不依赖于 SNI 的解决方案。
| 归档时间: |
|
| 查看次数: |
2529 次 |
| 最近记录: |