Apache SNI namevhosts 始终路由到第一个 VirtualHost 条目

Apache SNI namevhosts 始终路由到第一个 VirtualHost 条目

Apache 似乎将所有 https 请求路由到第一个,<VirtualHost *:443>而不管 ServerName/ServerAlias 字段上的 SNI 匹配情况。

Apache 使用 SNI 构建
服务器版本:Apache/2.2.22 (Ubuntu)
服务器构建时间:2013 年 3 月 8 日 15:53:13
OpenSSL 1.0.1 2012 年 3 月 14 日

error.log 报告:

Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)

这表明 SNI 正在按以下方式运行http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI(如何判断您的 Apache 构建是否支持 SNI?)

SSL_TLS_SNI当使用 HTTPS 请求时似乎设置得当(已通过 验证phpinfo()

配置:

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    NameVirtualHost *:443
    Listen 443
</IfModule>

#<VirtualHost *:443>
#       <Location />
#               Order allow,deny
#               Deny from all
#       </Location>
#</VirtualHost>

<VirtualHost *:443>
        SSLEngine on
        ServerAdmin webmaster@localhost
        ServerName server.com
        ServerAlias server.com
        DocumentRoot /web/default
        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLCertificateFile /path/server.com.crt
        SSLCertificateKeyFile /path/server.com.key
</VirtualHost>
<VirtualHost *:443>
        SSLEngine on
        ServerAdmin webmaster@localhost
        ServerName alias.com
        ServerAlias alias.com
        DocumentRoot /web/default
        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLCertificateFile /path/alias.com.crt
        SSLCertificateKeyFile /path/alias.com.key
</VirtualHost>

两个都https://server.comhttps://alias.com尝试从 server.com 提供证书(如果忽略证书警告,则提供内容)

类似的配置使用 HTTP:80 工作正常(唯一的变化是 SSLEngine 开启以及证书/密钥路径)

如果我取消注释第一个虚拟主机(限制对已定义的站点的 HTTPS 访问),那么我总是会收到 SSL 错误(即使它是一个已定义的站点)

谢谢

编辑:
附加标志

SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
SSLStrictSNIVHostCheck on
SSLVerifyClient none
SSLProxyEngine off

SSLStrictSNIVHostCheck on所以它应该只支持启用 SNI 的浏览器

apache2ctl -S输出:

*:443                  is a NameVirtualHost
         default server server.com (/etc/apache2/sites-enabled/000-default:22)
         port 443 namevhost server.com (/etc/apache2/sites-enabled/000-default:22)
         port 443 namevhost alias.com (/etc/apache2/sites-enabled/000-default:39)
         port 443 namevhost other.com (/etc/apache2/sites-enabled/other:22)

答案1

更新

因此,出于某种奇怪的原因,问题似乎已经自行解决。
也许是某种奇怪的缓存问题或其他问题(尽管我已经多次apache2ctl stop/start/restart尝试sudo service apache2 stop/start/restart/reload过,并在服务器上本地以及使用几台不同的机器进行过测试)。

如果可以作为参考,请随意删除或保留此问题。
感谢大家的帮助!

答案2

您的配置看起来没问题;指令 SSLEngine On 已被包含;根据日志消息,问题似乎来自客户端。

并非所有客户端都支持 SNI,但大多数都支持。这取决于 SSL 协商的方式,由系统(在 Win XP 上不起作用)或由浏览器(版本必须足够新)进行。查看支持 SNI 的浏览器列表。如果您必须确保所有客户端都能访问您的网站,则由于这些旧版本(浏览器或系统),您无法使用 SNI。您需要每个 ServerName 一个 IP,并对 ServerName alias.com 使用 VirtualHost $IP_alias:443,对 ServerName server.com 使用 VirtualHost $IP_server:443,而不是对两者使用 VirtualHost *:443。

答案3

第一个虚拟主机会出错,因为没有包含该SSLEngine on指令,Apache 会发送不带 SSL 的 HTTP 响应。如果您想要这种功能,您必须为默认虚拟主机设置另一个站点(可能使用另一个证书,除非您重用现有域),即使您想要做的只是返回一个不错的错误。

也许检查一下证书是否真的不同?您的配置似乎正确。

另外,请检查是否有其他VirtualHost部分在监听端口 443。Apache 将选择最匹配的部分,这意味着如果有任何内容更具体到连接所处的地址,则该条目将优先。不过,我认为这不是您的问题。

此外,有趣的是,从用户端您看到的是,如果客户端在大多数情况下不支持 SNI,会发生什么情况。

答案4

我们花了一上午的时间在 Oracle Linux 8(与 RHEL8 / Alma 8 / Rocky 8 / 等相同)上排除与此相关的问题。此行为可能也存在于其他发行版中。

如果您的服务器的主机名(即hostname)与 <VirtualHost> 部分中的 ServerName 或 ServerAlias 相同,那么将呈现主服务器部分,而不是 VirtualHost 中指定的 DocumentRoot。 因此,<VirtualHost> 部分中的 SSL 和 DocumentRoot 设置将被忽略! 出于同样的原因,它还将从 /var/www/html/* 而不是 <VirtualHost> 定义加载文件。

修复方法是在顶部配置文件 /etc/httpd/conf/httpd.conf (或 /conf.d/foo 文件)中定义,以便 apache 认为的主机名与安装时操作系统定义的ServerName www.example.com运行结果不同(即,网络脚本中的 /etc/hostname 或 HOSTNAME=)。hostname

相关内容