2. 程式人生 > >在同一個服務器(同一個IP)為不同域名綁定的免費SSL證書

在同一個服務器(同一個IP)為不同域名綁定的免費SSL證書

阿新 發佈:2018-02-23
-s cli reat net 錯誤 city ive 吊銷證書 dom

越來越多的瀏覽器不在支持http協議了,這就要求你為你的網站必須綁定SSL證書。谷歌瀏覽器也將要在今年取消對http協議的支持,申請CA證書迫在眉睫。我購買有兩個域名,一個虛擬機,沒事鼓搗鼓搗,圖個樂趣。在阿裏雲申請了免費證書,一直用的好好的。這次過年恰遇證書更新,想一起把所有域名都升級到https。購買兩個證書分別綁定域名。順帶說一下如何阿裏雲購買免費域名,現在已經不太容易找到免費域名購買按鈕了。

【動圖示意購買免費CA】

技術分享圖片

購買完成,並分別綁定www.a.com和www.b.com 後,訪問a.com一直提示CA錯誤,發現CA證書來自www.b.com 一度懷疑自己綁定錯誤了域名,吊銷證書又重新購買,問題依舊。在IE中沒有有用的提示信息,在谷歌中會提示證書錯誤,且可以發現錯誤證書信息:

技術分享圖片 技術分享圖片

這個問題早在2012年就被發現並且提出的解決辦法,參考英文請點擊跳轉。 阿裏雲的解決方案。

Problem

As more e-commerce sites come on line and more businesses are storing and sharing sensitive documents online, the ability to host and scale secure sites are increasingly more important. Prior to Windows Server 2012, there were a couple of challenges when it comes to hosting secure sites:

隨著更多電子商務網站上線,越來越多的企業在線存儲和分享敏感信息,托管和確保安全網站的能力變得尤為重要,win server 2012之前,當托管SSL站點時有兩個挑戰:

SSL Scalability: In a multi-tenanted environment, such as a shared hosting, there is a limitation as to how many secure sites can be hosted on Windows Server, resulting in a low site-density.

SSL的可伸縮性:在多站點環境下,比如一個共享的服務器,托管的安全網站數量收到限制(只允許一個),導致安全網站密度很低。

IPv4 scarcity: Because the network end-point can only be identified with IP:Port binding, where tenants request to use the standard SSL port, 443, hosting a secure site often means offering a dedicated IP address per tenant.

IPv4地址不足,因為互聯網上的一個終端僅能靠一對IP:Port來訪問,當每個站點使用標準端口443時,意味著需要為每一個站點提供專用的IP地址。

Solution

On Windows Server 2012, IIS supports Server Name Indication (SNI), which is a TLS extension to include a virtual domain as a part of SSL negotiation. What this effectively means is that the virtual domain name, or a hostname, can now be used to identify the network end point. In addition, a highly scalable WebHosting store has been created to complement SNI. The result is that the secure site density is much higher on Windows Server 2012 and it is achieved with just one IP address.

It should be noted that in order for this feature to be used, your client browsers have to support SNI. Most modern browsers support SNI; however, Internet Explorer (of any version) on Windows XP does not support SNI.

解決方案是針對win server 2012的II7-IIS8,具體辦法可以參考原文,本文僅針對IIS8.5來說明:

文中提到的SNI(Server Name Indication)中文名稱是:需要服務器名稱指示(如圖), 這是一個一般人很難理解的中文翻譯,記住,他就是SNI。

另外非常重要的是:

  1. 無論你訪問任指向本服務器的域名,如果所有網站都沒有勾選SNI,那麽任何針對這個IP:Port的CA請求,都將返回第一個綁定的CA證書。
  2. 如果第一個站點沒有勾選,效果同第一條相同。

所以最好的解決辦法是:所有站點都選擇勾選SNI。

技術分享圖片

在同一個服務器(同一個IP)為不同域名綁定的免費SSL證書

相關推薦

同一個服務同一個IP不同域名免費SSL證書

-s cli reat net 錯誤 city ive 吊銷證書 dom 越來越多的瀏覽器不在支持http協議了,這就要求你為你的網站必須綁定SSL證書。谷歌瀏覽器也將要在今年取消對http協議的支持,申請CA證書迫在眉睫。我購買有兩個域名,一個虛擬機,沒事鼓搗鼓搗,圖個樂

使用Nginx+CppCMS構建高效Web應用服務之三

影響 size ppc light .html 數據顯示 com logs cppcms 使用Nginx+CppCMS構建高效Web應用服務器(之三)   --充分利用服務器和客戶端計算能力              歡迎測試,攻擊:http://www.lite

本地配置DNS服務MAC版

希望 設備 gin host bin 方式 regexp update 服務 作為一個前端開發者,會遇到使用cookie的情況,常見的如:登錄,權限控制,視頻播放,圖形驗證碼等,這時候本地開發者在PC上會使用修改hosts的方式添加指向本地的域名,來獲取cookie的同域名

Missian指南三:創建一個Missian服務使用spring

hello executor accept Coding acceptor 3.1 aac builder pat 在使用Missian時,spring是可選的,但是作者本人強烈推薦和Spring配合使用。Spring是一個偉大的項目,並且它不會對程序在運行時的效率帶來任何

linux安裝svn服務yum方式

說明 clear -c 空間 orm 是否 user tables linu p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Menlo; color: #000000; background-color: #fff

從零部署Spring boot項目到雲服務準備工作

開始 frame bubuko ons pac 失敗 地址 進行 pri   自己的博客終於成功部署上線了,回過頭來總結記錄一下整個項目的部署過程! 測試地址:47.94.154.205:8084 註:文末有福利! 一、Linux下應用Shell通過SSH連接雲服務器

Centos6.5搭建郵件服務Postfix+Dovecot

Linux Centos6.5 Postfix Dovecot 參考博文:http://blog.jjonline.cn/linux/185.html http://blog.51cto.com/11038104/1916669第一步、關閉iptables、selinux /et

部署日誌服務主機部分

acc save 修改配置文件 soc 第一步 file for form 兩個 第一步:配置rsyslog服務等接收遠程日誌 配置文件路徑為/etc/sysconfig/rsyslog 把內容SYSLOGD_OPTIONS="-m 0" 修改為 SYSLOGD_OPTIO

在雲主機上基於nginx部署基於Flask的網站服務 自己部署

b- service 主機 python exist efault 重啟nginx gre 運行 1.申請雲主機   a.阿裏雲 (註意:阿裏雲的服務器需要手動添加安全規則使能80端口)   b.騰訊雲 2.把網站服務器程序拷貝到雲主機 3.遠程登錄雲主機 4.解壓網站服務

HTML5純Web前端也能開發直播,不用開發服務使用face2face

當前時間 button dev 初始化 分享 tlist start 用戶id span 前段時間轉載了某位大神的一篇文章,開發Web版一對一遠程直播教室只需30分鐘 - 使用face2face網絡教室。非常有意思。看起來非常簡單,但作為一名前端開發人員來說,還是有難度。因

OSGI嵌入tomcat應用服務gem-web——tomcat插件環境搭建

version code end har java 服務 文件 charset pat 相關的資源下載,參考:https://www.cnblogs.com/dyh004/p/10642769.html 新建普通的plugin工程

數據Binding指定源的幾種方法

styles source 控件 none tex 內部 是把 單個 AR 原文:數據綁定(三)為Binding指定綁定源的幾種方法 Binding的源是數據的來源

HP C7000刀片服務實戰6:redhat6.8網卡

etc 綁定 oss 網卡文件 配置網卡 oot dha src mod 1. 配置網卡文件 cd /etc/sysconfig/network-scripts [root@localhost]# vim ifcfg-Bond0 DEVICE=Bond0 TYPE=

開放window是服務端口——以8080

win 做了 tcp and setting 範圍 -- .com 右上角 本文記錄兩個內容: 1.win7下打開端口 2.服務器(2003或者其他老版的系統以2003為例) 測試端口時 可用telnet 命令 偵聽端口:C:\Documents and Setti

【Java TCP/IP Socket】基於線程池的TCP服務含代碼

init 成對 之前 .get font ack 字符串 fonts exceptio 了解線程池 在http://blog.csdn.net/ns_code/article/details/14105457(讀書筆記一:TCP Socket)這篇博文中,服務器

【Python】HackBack獲取暴力破解服務密碼的IP來源

split time get main ports import var api pre 1、前言 又在0x00sec上翻到好東東。 https://0x00sec.org/t/python-hackback-updated/882 帖子裏的腳本會得到那些暴力服務器密碼失敗

linux web服務 基於域名ip,端口的web虛擬主機

田峰 IT linux linux web服務器(二) 1 :搭建基於域名的虛擬主機 首先為兩個網站搭建dns服務器,並新建區域,分別為:www.goole.co

安裝簡單的NFS服務CentOS 6.5

重啟 簡單 程序 ber centos ports iptable tmpfs -h 一、環境 系統:CentOS 6.4x64位最小化安裝 nfs-server:192.168.3.54 nfs-client:192.168.3.55 二、serv

主機屋雲服務域名初探

網站 需要 頁面 ... 成功 功能 後綁定 根據 官網   記主機屋的免費服務器(鬧著玩的) 1. 在主機屋官網http://www.zhujiwu.com/找到如下的頁面: 2. 註冊——登錄——申請&mda

C#socket通訊服務連接狀態監控

del endpoint etc acc ipa ack ipaddress ava listening class SocketServerManager { public delegate void ConnectStateEventHandler