Technologie
Používáme technologii SNI (díl 4.)
SNI (Server Name Indication) je metoda umožňující provoz více HTTPS virtuálních webů (virtual host) s různými certifikáty na jedné jediné IP adrese.V minulém díle seriálu Pouzivame-technologii-SNI-(dil-3.) jsem slíbil dokončení instalace systému SNI a ověření její podpory. Takže, jdeme rovnou na věc!
Dosud jste se mohli seznámit s tím, že skutečně potřebujeme pouze klasický NameVirtualHost a poté pracujeme s virtuální weby, které se odlišují jménem a certifikátem. Můžete se setkat s tím, že Apache dostane požadavek od nekompatibilního klienta. V topm případě použije certifikát prvního definovaného virtuálního webu, tedy v tomto případě to bude exampleApache. Může nastat i taková situace, že váš Apache u nekompatibilního klienta vygeneroval chybovou hlášku 403 a nedovolil klientovi přístup. V tom případě nastavte volbu SSLStrictSNIVHostCheck na „on“ (výchozí nastavení je „off“).
- Podívejte se do virtuálního souboru, jestli Apache naslouchá na portu 443 (HTTPS) a že rovněž naslouchá pro všechny VirtualHosty na portu 443:
Listen 443 NameVirtualHost *:443
- Nyní se rovněž podíváme, zda náš virtuální server bude přijímat i požadavky od webových prohlížečů bez podpory SNI přidáním následující direktivy:
SSLStrictSNIVHostCheck off
- POZOR! Možná, že používáte starší verzí Apache. Doporučují vám proto nakopírovat novější Apache z backportů, a to stačí jen modul mod_gnutls. Zde je také nutné modul gnutls nejprve nainstalovat a aktivovat. Poté přistoupit konečně ke konfiguraci SNI!
- Na starších Apache (od verze 2.2.12) a nových Apache použijeme mod_ssl. Na starších Apache je nutné použít mod_gnutls. Následující první ukázka je určena pro mod_ssl:
DocumentRoot /var/www/example1.cz ServerName www.example1.cz SSLEngine On SSLCertificateFile /etc/apache2/example1.pem SSLCertificateKeyFile /etc/apache2/example1.key - Druhá ukázka je určena pro modul Gnu:
DocumentRoot /var/www/example1.cz ServerName www.example1.cz GnuTLSEnable on GnuTLSExportCertificates on GnuTLSCertificateFile /etc/apache2/example1.pem GnuTLSKeyFile /etc/apache2/example1.key DocumentRoot /var/www/example2.cz ServerName www.example2.cz GnuTLSEnable on GnuTLSExportCertificates on GnuTLSCertificateFile /etc/apache2/example2.pem GnuTLSKeyFile /etc/apache2/example2.key
Konfigurace SNI na Apache
Resumé
Podpora systému SNI na straně klientů v tuto chvíli stále není bezproblémová a nějakou dobu ještě nebude, což celkem logicky brzdí nasazení SNI na produkční servery. Poskytovatelé webhostingů zapnutí metody SNI na serverech podporují, ale faktem ovšem je, že ještě dávají přednost nasazení SSL certifikátu spolu s doménou na svou samostatnou IP adresu. Tíémto seriálem jsme chtěli přispět k osvětlení problematiky, zejména začínajícím webmasterům. Nevylučuji, že seriál bude dále aktualizován, a tedy dalšími díly pokračovat, jak to v aktuálním hardwarovém a softwarovém prostředí okolnosti budou vyžadovat.
- Žádné komentáře byly zveřejněny.
| Vlákno | Zobrazení | Odpovědi | Poslední příspěvek | |
|
obrázky v news
v PHP - Fusion 9.0.3 |
31 | 0 | Balin50 21-05-2018 12:12 |
|
|
Gist
v Administrace obsahu |
71 | 2 | Kvido 19-05-2018 07:12 |
|
|
Token
v PHP - Fusion 9.0.3 |
83 | 2 | Balin50 18-05-2018 12:52 |
|
|
Chyba - DatabaseSetup.inc
v PHP - Fusion 9.0.3 |
65 | 3 | RobiNN 17-05-2018 17:46 |
|
|
tagy vo fóre
v PHP - Fusion 9.0.3 |
53 | 0 | Balin50 16-05-2018 19:42 |
|
|
Code v news [Vyřešeno]
v PHP - Fusion 9.0.3 |
94 | 5 | RobiNN 16-05-2018 18:52 |