O Apache parece rotear todas as solicitações https para o primeiro <VirtualHost *:443>
, independentemente da correspondência do SNI nos campos ServerName / ServerAlias.
Apache é construído com SNI
Versão do servidor: Apache / 2.2.22 (Ubuntu)
Servidor construído: Mar 8 2013 15:53:13
OpenSSL 1.0.1 14 de março de 2012
relatórios error.log:
Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
O que sugere que o SNI está funcionando de acordo com o link (Como você pode saber se a sua compilação do Apache suporta o SNI?)
SSL_TLS_SNI
parece estar definido adequadamente quando solicitado usando HTTPS (verificado com phpinfo()
)
Configuração:
<IfModule mod_ssl.c>
# If you add NameVirtualHost *:443 here, you will also have to change
# the VirtualHost statement in /etc/apache2/sites-available/default-ssl
# to <VirtualHost *:443>
# Server Name Indication for SSL named virtual hosts is currently not
# supported by MSIE on Windows XP.
NameVirtualHost *:443
Listen 443
</IfModule>
#<VirtualHost *:443>
# <Location />
# Order allow,deny
# Deny from all
# </Location>
#</VirtualHost>
<VirtualHost *:443>
SSLEngine on
ServerAdmin webmaster@localhost
ServerName server.com
ServerAlias server.com
DocumentRoot /web/default
ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLCertificateFile /path/server.com.crt
SSLCertificateKeyFile /path/server.com.key
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
ServerAdmin webmaster@localhost
ServerName alias.com
ServerAlias alias.com
DocumentRoot /web/default
ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLCertificateFile /path/alias.com.crt
SSLCertificateKeyFile /path/alias.com.key
</VirtualHost>
O link e o link tentam exibir o certificado (e conteúdo se você desconsiderar o aviso do certificado) do server.com
Configuração semelhante funciona bem usando HTTP: 80 (somente a mudança é SSLEngine e os caminhos de certificado / chave)
Se eu descomentar o primeiro host virtual (restringindo o acesso HTTPS a sites que estão definidos), eu sempre recebo um erro SSL (mesmo que seja um site definido)
Obrigado
EDITAR:
Bandeiras adicionais
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
SSLStrictSNIVHostCheck on
SSLVerifyClient none
SSLProxyEngine off
SSLStrictSNIVHostCheck on
, por isso só deve suportar navegadores ativados por SNI de qualquer maneira
apache2ctl -S
output:
*:443 is a NameVirtualHost
default server server.com (/etc/apache2/sites-enabled/000-default:22)
port 443 namevhost server.com (/etc/apache2/sites-enabled/000-default:22)
port 443 namevhost alias.com (/etc/apache2/sites-enabled/000-default:39)
port 443 namevhost other.com (/etc/apache2/sites-enabled/other:22)