请稍候...
  • 通配符证书Wildcard SSL,部署全网HTTPS必备
  • 为什么使用企业型SSL证书?
  • 增强型证书EV SSL,完美支持地址栏显示中文企业名称
  • HTTPS今天你用了吗?
  • 多域名SANS/UCC SSL证书,全面支持Exchange Server 2..
  • 选择SSL证书产品遇到问题?

虚拟主机安全方案

随着虚拟主机技术的发展,功能越来越丰富,已经不仅仅只是满足个人网站的需要,越来越多的小型电子商务网站也采用了虚拟主机来建站,如何为这些商户提供经济、方便的SSL解决方案,成为虚拟主机供应商的业务新增长点。

为什么不能在相同IP地址虚拟主机下多个域名上使用SSL证书?

这个问题十分专业,SSL协议层是在HTTP协议层下面的,当SSL连接建立时,SSL模块在Web模块之前和浏览器 进行通讯并交换证书、建立加密隧道。众所周知,Web服务器是通过HTTP数据包中的”Host”字段来区分虚拟主机的。而SSL模块在把服务器证书发送 到浏览器时,还没有收到任何关于HTTP的数据包,更不知道虚拟主机的域名,因此SSL模块只能固定的将一张SSL证书发送到浏览器,而不能根据域名有选 择性的发送证书。因此,您无法在一个IP地址的默认SSL 443端口下为多个虚拟主机配置多张证书。

由于一个IP与一个端口只能对应一张SSL证书,因此我们可以采用以下方式解决:

1、为需要SSL加密的虚拟主机配置不同的IP地址,端口都使用443。例如: www.domain1.com 的SSL使用 69.96.69.1:443 ; www.domain2.com的SSL使用 69.96.69.2:443,通过 https://www.domain1.com 和 https://www.domain2.com 就可以正常访问这2个SSL加密网站了。

2、如果只有一个IP地址,可以为多个网站配置不同的SSL端口。例如: www.domain1.com 的SSL使用 69.96.69.1:443; www.domain2.com的SSL使用 69.96.69.1:800,通过 https://www.domain1.com 和 https://www.domain2.com:800 访问这2个SSL网站了

如果多个虚拟主机使用一个主域名下的不同个子域名,您可以申请通配符Wildcard SSL证书

例如:有2个虚拟主机mail.domain.com、bill.domain.com,你申请一张*.domain.com的证书,按照前面所说的原理,2个虚拟主机都使用同一个IP和默认的443端口,当浏览器访问IP:443端口时,SSL模块把通配符证书Wildcard SSL传送给浏览器,建立合法的SSL隧道,然后WEB模块接收到HTTP数据包时判断域名选择虚拟主机。

原理是可行的,不幸的是你无法按照这个原理对IIS进行配置,IIS不支持SSL端口配置域名。如果仅依靠IIS,你不得不使用上面的2个方法(不同的IP地址或者不同的端口号)。

如果仅有1个IP地址,采用方法2时,mail.domain.com使用443端口,bill.domain.com使用1000端口,你会发现一个现象,由于SSL端口不区分域名,因此无论访问https://mail.domain.com还是https://bill.domain.com都是指向mail.domain.com网站内容;而无论 访问https://mail.domain.com:800还是https://bill.domain.com:800都是指向bill.domin.com网站内容的。当然这也有好处,你可以在abc.domain.com下放一个程序,程序判断一下域名,如果用户访问 https://bill.domain.com就马上跳转到https://bill.domain.com:800,不会有任何的安全警告。

幸运的是,通过SSL反向代理服务器,你可以解决这个问题。就是使用第三方的SSL模块来替代IIS处理SSL加密,将证书安装反向代理服务器中,浏览器访问SSL反向代理服务器,然后反向代理服务器使用HTTP协议访问你的Web服务器。你可以选择SSL反向代理硬软件有:

  • 1、支持SSL的负载均衡器,如F5、ArrayNetworks
  • 2、使用ISA Server 2004软件,参见:这里
  • 3、使用免费的Squid软件,参见:这里
  • 4、使用免费的Stunnel软件,参见: 这里
  • 5、使用PortTunnel软件,参见: 这里

选择证书

我们推荐虚拟主机服务商采用:RapidSSL,因为它具有:

  • 高性价比: RapidSSl 证书服务费仅285元/年,考虑到租用虚拟主机的客户对价格相对敏感,这款SSL证书是最有吸引力的。
  • 申请便捷: 通过GeoTrust专有的在线申请技术,和中国数字证书的在线平台,不需要提供书面证明,可在1-2个小时内获得SSL证书
  • 单根证书: 安装简单,无需级联安装。
  • 兼容性强: 支持99%以上的浏览器和Web服务器。