Technologie

Zobrazit: Nejnovější Nejvíce komentované Nejlépe hodnocené

Používáme technologii SNI (díl 4.)

SNI (Server Name Indication) je metoda umožňující provoz více HTTPS virtuálních webů (virtual host) s různými certifikáty na jedné jediné IP adrese.V minulém díle seriálu - Pouzivame-technologii-SNI-(dil-3.), jsem slíbil dokončení instalace systému SNI a ověření její podpory. Takže, jdeme rovnou na věc!

SNI (Server Name Indication) je metoda umožňující provoz více HTTPS virtuálních webů (virtual host) s různými certifikáty na jedné jediné IP adrese.V minulém díle seriálu Pouzivame-technologii-SNI-(dil-3.) jsem slíbil dokončení instalace systému SNI a ověření její podpory. Takže, jdeme rovnou na věc!

Dosud jste se mohli seznámit s tím, že skutečně potřebujeme pouze klasický NameVirtualHost a poté pracujeme s virtuální weby, které se odlišují jménem a certifikátem. Můžete se setkat s tím, že Apache dostane požadavek od nekompatibilního klienta. V topm případě použije certifikát prvního definovaného virtuálního webu, tedy v tomto případě to bude exampleApache. Může nastat i taková situace, že váš Apache u nekompatibilního klienta vygeneroval chybovou hlášku 403 a nedovolil klientovi přístup. V tom případě nastavte volbu SSLStrictSNIVHostCheck na „on“ (výchozí nastavení je „off“).

Podívejte se do virtuálního souboru, jestli Apache naslouchá na portu 443 (HTTPS) a že rovněž naslouchá pro všechny VirtualHosty na portu 443:
```
 Listen 443
 NameVirtualHost *:443
```
Nyní se rovněž podíváme, zda náš virtuální server bude přijímat i požadavky od webových prohlížečů bez podpory SNI přidáním následující direktivy:
```
 SSLStrictSNIVHostCheck off
```
POZOR! Možná, že používáte starší verzí Apache. Doporučují vám proto nakopírovat novější Apache z backportů, a to stačí jen modul mod_gnutls. Zde je také nutné modul gnutls nejprve nainstalovat a aktivovat. Poté přistoupit konečně ke konfiguraci SNI!

Konfigurace SNI na Apache

Na starších Apache (od verze 2.2.12) a nových Apache použijeme mod_ssl. Na starších Apache je nutné použít mod_gnutls. Následující první ukázka je určena pro mod_ssl:
```
 DocumentRoot /var/www/example1.cz
 ServerName www.example1.cz

 SSLEngine On
 SSLCertificateFile /etc/apache2/example1.pem
 SSLCertificateKeyFile /etc/apache2/example1.key
```

Druhá ukázka je určena pro modul Gnu:


 DocumentRoot /var/www/example1.cz
 ServerName www.example1.cz

 GnuTLSEnable on
 GnuTLSExportCertificates on
 GnuTLSCertificateFile /etc/apache2/example1.pem
 GnuTLSKeyFile /etc/apache2/example1.key
 


 DocumentRoot /var/www/example2.cz
 ServerName www.example2.cz
 GnuTLSEnable on
 GnuTLSExportCertificates on
 GnuTLSCertificateFile /etc/apache2/example2.pem
 GnuTLSKeyFile /etc/apache2/example2.key

Resumé

Podpora systému SNI na straně klientů v tuto chvíli stále není bezproblémová a nějakou dobu ještě nebude, což celkem logicky brzdí nasazení SNI na produkční servery. Poskytovatelé webhostingů zapnutí metody SNI na serverech podporují, ale faktem ovšem je, že ještě dávají přednost nasazení SSL certifikátu spolu s doménou na svou samostatnou IP adresu. Tíémto seriálem jsme chtěli přispět k osvětlení problematiky, zejména začínajícím webmasterům. Nevylučuji, že seriál bude dále aktualizován, a tedy dalšími díly pokračovat, jak to v aktuálním hardwarovém a softwarovém prostředí okolnosti budou vyžadovat.

Autor: Vícha Květoslav (Kvido)
Zdroj:SSLS.cz
Tweet

Kvido 16.06.2016 10:40 268 0 komentářů

0 komentářů

Žádné komentáře byly zveřejněny.

Nejnovější témata fóra

Vlákno	Zobrazení	Odpovědi	Poslední příspěvek
FAQ chyba v Administrace obsahu	2	0	Balin50 22-09-2018 22:15
Vývoj - ako pokračuje v PHP-Fusion 9.0.3	72	1	Kvido 18-09-2018 12:59
Blogs na HP [Vyřešeno] v PHP-Fusion 9.0	89	2	Kvido 15-09-2018 17:12
Tenisový portál [Vyřešeno] v Obecná diskuse	171	3	jany 08-09-2018 08:06
Prihlásenie [Vyřešeno] v Administrace systému	152	7	Balin50 05-09-2018 15:36
FAQ formátovanie [Vyřešeno] v Administrace obsahu	223	8	RobiNN 05-09-2018 15:09
Token [Vyřešeno] v Administrace systému	164	1	RobiNN 05-09-2018 15:05