Как сделать доступ по SSL (https) для нескольких сайтов на одном IP?

Question

[FedLab]

В связи с разработкой некого сервиса появилась необходимость использования защищенного соединения для нескольких проектов. На сервере только одни выделенный IP.

Можно ли как-то использовать несколько сайтов с ssl на одном IP?

Из того что нашел в интернете:

— name-based vhosts (apache + mod_gnutls) ( _http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-... )

— SSL with Virtual Hosts Using SNI (apache) ( _http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI ), SNI (nginx) ( _http://itbuben.org/blog/Unix-way/1621.html )

— ip-based vhosts (apache) ( _http://www.ibm.com/developerworks/ru/library/wa-multissl/... ) (не до конца понял принцип работы, как сервер определит на кокой внутренний ip отправить)



В принципе использование SNI подойдет, полная поддержка браузерами (старыми) не столь актуальна и важна мне. Но не понял как именно поведет себя браузер в таком случае?



Есть еще какие-то варианты настройки нескольких ssl на одном ip?

Какие варианты вы использовали или можете рекомендовать?

Comments

[FedLab]

Еще важный момент — наличие опции, чтобы другие сайты (без ssl) не открывались по 443 порту…

[VBart]

nginx.org/ru/docs/http/configuring_https_servers.html#name_based_https_servers

Про опцию есть два тикета:
trac.nginx.org/nginx/ticket/195
trac.nginx.org/nginx/ticket/214
если есть, что к ним добавить, то, как говорится, you're welcome.

Answer 1

[Василий]

Использую SNI с Nginx, конфигурация такая же как для одного адреса, т.е. банально указывается server_name, никаких директив специально вызывать не надо — просто работает. SNI умеет любой вменяемый браузер (а невменяемый и без него проблем имеет).
Касательно WinXP — так SNI не поддерживается в IE, другим браузерам пофигу.
wildcard сертификаты весьма дороги, но могут быть хорошим решением чтобы обойтись без SNI.SNIT

Answer 2

[Sergei Borisov]

Я, к своему стыду, не очень понимаю в теории почему и как оно работает. но у меня на хосте оно есть и работает. nginx.
server {
listen 443;
server_name host1.com;

ssl on;
ssl_certificate /path/to/host1.crt;
ssl_certificate_key /path/to/host1.key;

ssl_session_timeout 5m;

ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

… # остальное как обычно
}

и так же для второго. Главное server_name укажите другой и ssl сертификаты

Comments

[Sergei Borisov]

Забыл сказать. симметричную конфигурацию надо сделать для 80-х портов. А тем сайтам, которые только по http тем конфигурацию толькр для 80-го порта. остается только нюанс, что сделает nginx, если Вы обратитетесь по ip:443 вместо доменного имени. Ну тут просто откроет тот, который будет считать первым.

[porzione]

Ну если у вас так — # nginx -V
nginx version: nginx/1.4.1
TLS SNI support enabled
то почему бы и не работать

[Sergei Borisov]

Я имел в виду, что не знаю, как работает SNI.
И более того, до вчерашнего дня даже не слышал такой аббревиатуры.

Answer 3

[noonesshadow]

SNI не поддерживается в WinXP
Поддомены + сертификат на *.ххх.ууу универсальное решение

Comments

[FedLab]

Chome + winxp = поддерживается
ie+winxp — нет… не столь принципиально.
проекты немного разные и на отдельных доменах второго уровня.

[Василий]

Только IE и winapi, остальное работает.

Answer 4

[porzione]

Если браузер ничего о SNI не знает, в результате юзер увидит то же, что бы он увидел заходя по айпи, те кто там default_server.

Comments

[FedLab]

логично. спасибо.