我们有一个生产Apache Tomcat的服务器,通过它服务一些网站。 这些网站已经开始申请有效的SSL证书。 我们对服务器上的有效IP数量有一些限制。 另一方面,我们已经阅读了最近的SSL版本中的服务器名称指示(SNI),这似乎是所有主要的Web浏览器都支持的,并且使我们能够在一个IP地址上拥有多个启用SSL的站点。
问题是Apache Tomcat在其稳定版本中不支持SNI,也不支持像WebLogic这样的主stream商业服务器。
毕竟,SNI能否被视为这个问题的成熟解决scheme呢?
谢谢。
SNI绝对是走的路,非常成熟。 但是,直接在Tomcat中直接执行SSL通常是不鼓励的。 问题是Tomcat SSL库通常过时并且不完整。 使用Tomcat站点进行SSL的典型方法是通过另一个程序(httpd,HAProxy,Pound等)代理内容,该程序可以将SSL添加到客户端与代理之间的请求中。 如果在运行Tomcat的服务器上执行代理,则networking上不存在纯文本通信(即,这不是安全问题)。 我不确定HAProxy和Pound,但是我知道httpd对内置的SNI有很好的支持。