apache配置多个ssl证书，如何实现单站点多域名https？

在Apache服务器中配置多个SSL证书是现代网站管理的常见需求，尤其是在托管多个域名或子域名时，通过有效的多证书配置，可以确保每个域名拥有独立的证书，提升安全性和用户体验，本文将详细介绍在Apache中配置多个SSL证书的方法，包括基于名称的虚拟主机、SNI技术以及具体的配置步骤和注意事项。

理解多SSL证书配置的基础

在开始配置之前，需要了解几个关键概念，SSL证书用于加密客户端与服务器之间的通信，验证服务器的身份，当Apache服务器需要为多个域名提供HTTPS服务时，传统的基于IP地址的虚拟主机配置方式会显得不够灵活，因为每个IP地址只能绑定一个SSL证书，SNI（Server Name Indication）技术应运而生,它允许服务器在同一个IP地址和端口上根据客户端请求的域名名称提供不同的SSL证书。

SNI的工作原理是，客户端在发起TLS握手时会请求服务器名称，服务器根据该名称选择对应的证书进行验证，大多数现代浏览器和操作系统都支持SNI技术,因此可以在Apache中放心使用。

配置前的准备工作

在配置多SSL证书之前,需要完成以下准备工作：

1. 获取SSL证书：为每个域名申请或购买SSL证书，可以是免费的Let’s Encrypt证书，也可以是商业证书，确保证书包含完整的证书链（包括中级证书和根证书）。

2. 安装OpenSSL模块：Apache需要mod_ssl模块来支持SSL功能，该模块在安装Apache时会自动启用，可以通过命令apache2ctl -M | grep ssl检查是否已加载。

3. 准备证书文件：将每个域名的证书文件、私钥文件和证书链文件分别保存到服务器的指定目录，例如/etc/ssl/certs/和/etc/ssl/private/，确保私钥文件的权限设置为600,以防止未授权访问。

基于名称的虚拟主机配置

在Apache中，可以通过基于名称的虚拟主机配置多个SSL证书,以下是具体的配置步骤：

创建虚拟主机配置文件

为每个域名创建单独的虚拟主机配置文件，例如/etc/apache2/sites-available/example1.com.conf和/etc/apache2/sites-available/example2.com.conf，确保每个配置文件中包含正确的ServerName和ServerAlias指令。

配置SSL证书

在虚拟主机配置文件中，使用SSLEngine on启用SSL,并指定证书和私钥文件的路径。

<VirtualHost *:443>
    ServerName example1.com
    ServerAlias www.example1.com
    DocumentRoot /var/www/example1.com
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/example1.com.crt
    SSLCertificateKeyFile /etc/ssl/private/example1.com.key
    SSLCertificateChainFile /etc/ssl/certs/example1.com.chain
</VirtualHost>

对于第二个域名，配置文件内容类似，只需修改ServerName和证书路径即可。

启用虚拟主机配置文件

使用a2ensite命令启用配置文件，

sudo a2ensite example1.com.conf
sudo a2ensite example2.com.conf

重启Apache服务

执行以下命令重启Apache服务以应用配置更改：

sudo systemctl restart apache2

验证配置的正确性

配置完成后，需要验证多SSL证书是否正确生效,可以使用以下方法：

1. 浏览器访问测试：在浏览器中访问每个域名的HTTPS地址，检查浏览器是否显示安全锁标志,并确保证书信息正确。

2. OpenSSL命令行测试：使用以下命令测试每个域名的SSL证书：

   openssl s_client -connect example1.com:443 -servername example1.com

   查看输出中的Certificate部分,确认证书是否为预期的域名。

3. 在线工具验证：使用SSL Labs的SSL Server Test工具（https://www.ssllabs.com/ssltest/）对每个域名进行全面的SSL配置检查。

常见问题及解决方案

在配置多SSL证书时,可能会遇到以下问题：

SNI不支持的情况

如果客户端浏览器或操作系统不支持SNI，可能会导致无法正确加载SSL证书，大多数现代设备都支持SNI，但如果遇到兼容性问题,可以考虑为每个域名分配独立的IP地址。

证书链不完整

如果证书链配置不正确，浏览器可能会显示“证书不受信任”的错误，确保SSLCertificateChainFile指令指向包含中级证书和根证书的文件。

私钥权限问题

私钥文件权限设置不当可能导致Apache无法读取证书，确保私钥文件权限为600,所有者为root或apache用户。

优化配置建议

为了提升多SSL证书配置的性能和安全性,建议采取以下优化措施：

1. 启用HTTP/2：HTTP/2协议可以提升多证书配置的性能，减少连接开销，在Apache中，可以通过Protocols h2 http/1.1指令启用HTTP/2。

2. 配置OCSP装订：OCSP装订可以减少客户端对证书吊销状态的查询，提升安全性，使用SSLUseStapling和SSLStaplingCache指令启用OCSP装订。

3. 定期更新证书：特别是使用Let’s Encrypt证书时，设置自动续期任务,确保证书不会过期。

在Apache中配置多个SSL证书是实现多域名HTTPS服务的有效方式，通过SNI技术和基于名称的虚拟主机配置，可以在同一IP地址上为多个域名提供独立的SSL证书，本文详细介绍了配置步骤、验证方法和常见问题解决方案，并提供了优化建议，遵循这些步骤，可以确保多SSL证书配置的安全性和高效性,为用户提供更安全的访问体验。