我有一台 centos 7 服务器。我使用 IUS 存储库从 apache 2.4.6 切换到 apache 2.4.25 (https://ius.io/)。我的目标是用一个 IP 支持多个 SSL 证书。
我已经安装了:
- Apache/2.4.25(CentOS)
- httpd24u-mod_ssl-2.4.25-3.ius.centos7.x86_64
- openssl-1.0.1e-60.el7_3.1.x86_64
apache 现在启用了 SNI 吗?
或者我是否必须使用 ./configure --with-ssl=/path/to/your/openssl 从头开始构建它,如文档中所述(https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI)?
感谢您的时间。
答案1
CentOS 的 httpd 和 mod_ssl 软件包已经支持 SNI。OpenSSL 从 0.9.8f 版本开始支持 SNI,任何使用 OpenSSL 0.9.8f 及更新版本构建的 2.2.12 版本及以后的 httpd 都将自动支持 SNI。
但要检查你的 httpd 和 mod_ssl 是否支持 SNI:
只需通过配置基于名称的 SSL/TLS 虚拟主机进行测试,并在重新启动后检查错误日志(从Apache httpd 维基您已经链接到):
如何判断您的 Apache 构建是否支持 SNI?
如果您为配置了 SSL 的地址配置了多个基于名称的虚拟主机,并且 SNI 未内置到您的 Apache 中,则在 Apache 启动时会出现类似
“您不应将基于名称的虚拟主机与 SSL 结合使用!“
会出现在错误日志中。
如果 SNI 是内置的,则错误日志将显示“[警告] 初始化:基于名称的 SSL 虚拟主机仅适用于支持 TLS 服务器名称指示的客户端(RFC 4366)“。
或者使用ldd来确认 mod_ssl 是否与 openssl 的 libssl 链接并确认版本:
ldd /usr/lib64/httpd/modules/mod_ssl.so
linux-vdso.so.1 => (0x00007fff323f8000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007f3d99792000) <=======
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007f3d993a8000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f3d9918b000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f3d98f87000)
libc.so.6 => /lib64/libc.so.6 (0x00007f3d98bc6000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007f3d98977000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007f3d98690000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007f3d9848c000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007f3d98259000)
libz.so.1 => /lib64/libz.so.1 (0x00007f3d98043000)
/lib64/ld-linux-x86-64.so.2 (0x00007f3d99c3d000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007f3d97e34000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007f3d97c2f000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f3d97a15000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f3d977ed000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f3d9758c000)
rpm -qf /lib64/libssl.so.10
openssl-libs-1.0.1e-60.el7_3.1.x86_64