Apache配置多个SSL证书-一个站点如何绑定多个HTTPS域名

在当今互联网环境中，网站的安全性和用户体验至关重要，而HTTPS协议已成为标配，Apache服务器作为最流行的Web服务器之一，支持配置多个SSL证书以满足不同域名、子域名的安全需求，本文将详细介绍如何在Apache服务器上配置多个SSL证书，包括基于IP地址、基于域名（SNI）以及通配符证书的实现方法。

基于IP地址的多SSL证书配置

每个SSL证书都对应一个唯一的IP地址，这种配置方式适用于需要为不同IP地址分配独立证书的场景，确保服务器拥有多个独立IP地址,然后在Apache配置文件中为每个IP地址创建独立的虚拟主机段。

配置步骤：

示例配置：

SSLEngine onSSLCertificateFile /path/to/cert1.crtSSLCertificateKeyFile /path/to/key1.keyServerName example1.comDocumentRoot /var/www/example1SSLEngine onSSLCertificateFile /path/to/cert2.crtSSLCertificateKeyFile /path/to/key2.keyServerName example2.comDocumentRoot /var/www/example2

局限性： 需要为每个域名分配独立IP地址，成本较高且IP资源有限,目前已较少使用。

基于SNI（Server Name Indication）的多SSL证书配置

SNI技术允许一个IP地址上托管多个HTTPS虚拟主机，每个域名使用不同的SSL证书，这是目前最常用的多证书配置方式,要求服务器和客户端均支持TLS扩展。

配置步骤：

示例配置：

SSLEngine onSSLCertificateFile /path/to/cert1.crtSSLCertificateKeyFile /path/to/key1.keyServerName example1.comDocumentRoot /var/www/example1SSLEngine onSSLCertificateFile /path/to/cert2.crtSSLCertificateKeyFile /path/to/key2.keyServerName example2.comDocumentRoot /var/www/example2

验证SNI支持： 使用 openssl s_client -connect example.com:443 -servername example.com 命令可测试客户端是否支持SNI。

通配符证书与多域名证书配置

对于子域名或多个相关域名，可使用通配符证书或多域名（SAN）证书简化配置。

通配符证书

示例配置：

SSLEngine onSSLCertificateFile /path/to/wildcard.crtSSLCertificateKeyFile /path/to/wildcard.keyServerName *.example.comDocumentRoot /var/www/wildcard

多域名证书（SAN）

示例配置：

SSLEngine onSSLCertificateFile /path/to/san.crtSSLCertificateKeyFile /path/to/san.keyServerName example1.comDocumentRoot /var/www/example1SSLEngine onSSLCertificateFile /path/to/san.crtSSLCertificateKeyFile /path/to/san.keyServerName example2.comDocumentRoot /var/www/example2

配置注意事项与最佳实践

常见指令对照表： | 指令 | 作用 | 示例 ||——|——|——|| SSLEngine on | 启用SSL模块 | SSLEngine on || SSLCertificateFile | 指定证书文件路径 | SSLCertificateFile /etc/ssl/certs/site.crt || SSLCertificateKeyFile | 指定私钥文件路径 | SSLCertificateKeyFile /etc/ssl/private/site.key || ServerName | 设置虚拟主机域名 | ServerName example.com || SSLProtocol | 配置支持的SSL/TLS协议 | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 |

通过合理配置多SSL证书，可有效提升网站的安全性和灵活性，在实际操作中，需根据服务器环境和业务需求选择合适的配置方式，并定期检查证书有效期,确保证书及时更新。