SNI: 让Nginx在一个IP上使用多个证书

近几天,准备在nginx给多个域名配证书,原想着在不同的server下配不同的证书是多么自然的一件事情啊。

然后老大跟我说不能,这样会收不到请求,我说为啥呢?

这篇 文章中,我们可以看到, SSL其实位于TCP/IP协议层中,应用层和运输层之间,尚未到达HTTP这一层,但是又位于TCP之上。 我们知道,Nginx支持在一个IP上服务多个域名,原因就在于,HTTP协议里有一个字段是 Host,通过匹配 这个字段的值和 nginx.conf 中的 server_name,Nginx就可以方便的把请求转发到对应的内容服务器上去。

但是对于HTTPS却行不通,为什么呢?上面说过,SSL位于HTTP协议和TCP协议之间,也就是说,一个请求到来, 在握手阶段,SSL并不知道这个请求到底是请求哪个Host。而要知道Host,就需要解密HTTP请求,但是SSL这一层正是 为了加密HTTP的。于是就陷入了一种先有鸡还是先有蛋的问题。

所以有了SNI:Server Name Indication,工作原理是在SSL握手的阶段,浏览器把Host字段一起发过去。这样 Nginx便可以在一个IP上服务多个HTTPS服务。但是这个技术有三个要求:

  • Nginx编译时需要允许这个设定,可以通过 nginx -V查看
  • Nginx动态链接的openssl要支持这个功能,也可以通过 nginx -V看,如果没有异常信息,就是支持的,此外openssl从 0.9.8f开始支持这个功能
  • 用户所使用的浏览器支持这个功能

老大所说的不能,其原因就是因为有一部分用户还在使用非常非常老的浏览器 :(

参考:

  • https://www.ruby-forum.com/topic/186664
  • http://nginx.org/en/docs/http/configuringhttpsservers.html#sni
  • https://en.wikipedia.org/wiki/ServerNameIndication#Support

更多文章
  • Web开发系列(五):form, json, xml
  • Web开发系列(四):Flask, Tornado和WSGI
  • Web开发系列(三):什么是HTML,CSS,JS?
  • Web开发系列(二):HTTP协议
  • Web开发系列(一):从输入网址到最后,这个过程经历了什么?
  • SNI: 让Nginx在一个IP上使用多个证书
  • Haskell: infixl, infixr, infix
  • Haskell简明教程(五):处理JSON
  • Haskell简明教程(四):Monoid, Applicative, Monad
  • HTTPS 的详细流程
  • OAuth2 为什么需要 Authorization Code?
  • 任务队列怎么写?python rq源码阅读与分析
  • XMonad 配置教程
  • Haskell简明教程(三):Haskell语法
  • Haskell简明教程(二):从命令式语言进行抽象