Apache 中的 TLS SNI 替代方案

Apache 中的 TLS SNI 替代方案

是否可以根据客户端连接的端口提供不同的公共证书?

我知道使用 SNI(与 NameVirtualHost 结合)服务器将会以适当的证书做出响应。

除了在 443 端口上进行 SNI 解析之外,我还希望能够为每个证书提供不同的端口(例如 1443、2443、3443)。

这将支持较旧的(不了解 SNI 的)客户端,这些客户端将连接到特定端口。

答案1

是的,您只需在 apache 中添加更多 VirtualHosts,其中包含新端口号和相应的SSLCertificateFile指令。您可以复制获得的默认ssl.conf文件(至少在 RHEL 上)并进行更改<VirtualHost _default_:443>Listen 443等等。

当然,任何 HTTPS 客户端都无法在这些奇怪且古怪的端口上发现正确的 HTTPS 端点,除非您明确在 URL 中包含端口,因此对于面向公众的网站来说并不是很好。

相关内容