我知道在同一个IP上有很多关于多个SSL的post,但我保证我没有打死一匹死马。 我的问题很清楚。 首先,有一点背景…
我们的组织有几个电子商务网站。 所有这些站点都运行在相同的IP上,使用SNI作为基于名称的虚拟主机。 在大多数情况下,这是很好的工作。 但是,在某些浏览器(ie7 / ie8,但仅在某些原因的select机器上),我们得到报告,用户看到域名与SSL证书不匹配。 事实certificate,他们正在按照字母顺序看到第一个SSL主机的SSL证书,因为Apache首先parsingIP地址,然后抓住它认为合适的虚拟主机文件。
我做了一些SSL协议的实验,发现如果我这样设置(ssl.conf):
SSLProtocol TLSv1
然后,我只是得到一个没有find任何在IE中的https域。
如果我在ports.conf中设置SSLStrictSNIVHostCheck
SSLStrictSNIVHostCheck打开
然后我会得到在有问题的浏览器中被拒绝的权限。
问题很明显,IE不支持或不使用TLSv1协议或SNI,这两者都是需要的。 所以我的问题是…
是否有一个configuration更改,我可以支持IE浏览器,也许根据不同的协议,或者是我唯一的select使用单独的IP为每个虚拟主机需要SSL?
在此先感谢=)
不幸的是,SNI的支持仍然不足。 你没有指定,但我敢打赌,你有问题的IE浏览器是在Windows XP的机器上,是吗? 在Windows XP(或更早版本)的任何版本的IE上都没有SNI支持; 只有Vista和后来支持它,只有在IE 7和更高版本。
在这里查看支持SNI的浏览器列表 。
我的build议是:如果您需要支持缺乏SNI支持的客户(而XP系统的数量还在外,您很可能需要),那么您将不得不实施不依赖于SNI的解决scheme。
如果你想达到广泛的受众,那么不要使用SNI。 它不被广泛支持,你应该从现在开始避免至less几年。
你应该看看UCC / SAN证书。 这通常更昂贵,但是在这种情况下是正确的。 或者你可以为每个站点分配一个IP地址。
http://www.geotrust.com/ssl/ssl-certificates-san-uc/给出了这种types的证书更多的信息。
今天,大约10%的互联网用户不支持服务器名称指示。 在GlobalSign,我们最近创build了一个解决scheme,通过使用两个SSL证书(一个用于IP地址并且是免费的)来支持不支持服务器名称指示(SNI)的用户。 您可以阅读有关此问题的更多信息,以及我们在今天发布的博客文章中将多个SSL证书安全地托pipe在单个IP地址上的解决scheme。