如何在Ubuntu12.04上使用Nginx在一个IP上设置多个SSL证书

来自菜鸟教程
跳转至:导航、​搜索


状态: 已弃用

本文介绍了不再受支持的 Ubuntu 版本。 如果您当前正在运行运行 Ubuntu 12.04 的服务器,我们强烈建议您升级或迁移到受支持的 Ubuntu 版本:

原因: Ubuntu 12.04 已于 2017 年 4 月 28 日终止生命周期 (EOL) and no longer receives security patches or updates. This guide is no longer maintained.

请参阅:
本指南可能仍可用作参考,但可能不适用于其他 Ubuntu 版本。 如果可用,我们强烈建议使用为您正在使用的 Ubuntu 版本编写的指南。 您可以使用页面顶部的搜索功能来查找更新的版本。


您可以使用服务器名称标识 (SNI) 在一个 IP 地址上托管多个 SSL 证书。

关于 SNI

尽管使用虚拟主机在单个虚拟专用服务器上托管多个站点并不是挑战,但为每个站点提供单独的 SSL 证书通常需要单独的 IP 地址。 最近通过使用服务器名称指示 (SNI) 简化了该过程,它向站点访问者发送与请求的服务器名称匹配的证书。

笔记:

SNI 只能用于从您的 Web 服务器为多个 SSL 站点提供服务,并且根本不可能在其他守护进程上工作,例如邮件服务器等。 还有一小部分较旧的 Web 浏览器可能仍会出现证书错误。 Wikipedia 更新了支持和不支持此 TLS 扩展的软件列表。

设置

SNI 确实需要注册域名才能提供证书。

本教程中的步骤要求用户具有 root 权限。 您可以在 初始服务器设置教程 的第 3 步和第 4 步中查看如何设置它。

Nginx 应该已经在您的 VPS 上安装并运行。

如果不是这种情况,您可以使用以下命令下载它:

sudo apt-get install nginx

您可以确保在您的服务器上启用了 SNI:

 nginx -V

显示 nginx 版本后,您应该看到以下行:

 TLS SNI support enabled

第一步——创建您的 SSL 证书目录

出于本教程的目的,这两个证书都是自签名的。 我们将努力创建一个同时托管 example.com 和 example.org 的服务器。

SSL 证书有 2 个主要部分:证书本身和公钥。 为了使所有相关文件易于访问,我们应该为每个虚拟主机的 SSL 证书创建一个目录。

mkdir -p /etc/nginx/ssl/example.com
mkdir -p /etc/nginx/ssl/example.org

第二步——创建服务器密钥和证书签名请求

首先,为 example.com 创建 SSL 证书。

切换到正确的目录:

cd /etc/nginx/ssl/example.com

首先创建私有服务器密钥。 在此过程中,系统会要求您输入特定的密码。 请务必仔细记下这句话,如果忘记或丢失,您将无法访问证书。

sudo openssl genrsa -des3 -out server.key 1024

通过创建证书签名请求进行跟进:

sudo openssl req -new -key server.key -out server.csr

该命令将提示终端显示需要填写的字段列表。

最重要的一行是“通用名称”。 在此处输入您的官方域名,或者,如果您还没有,请输入您网站的 IP 地址。 将质询密码和可选的公司名称留空。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:NYC
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Awesome Inc
Organizational Unit Name (eg, section) []:Dept of Merriment
Common Name (e.g. server FQDN or YOUR name) []:example.com                  
Email Address []:webmaster@awesomeinc.com

第三步——删除密码

我们几乎完成了证书的创建。 但是,我们可以删除密码。 尽管设置密码确实提供了更高的安全性,但当尝试重新加载 nginx 时,问题就开始了。 如果 nginx 崩溃或需要重新启动,您将始终需要重新输入密码才能让整个 Web 服务器重新上线。

使用此命令删除密码:

sudo cp server.key server.key.org
sudo openssl rsa -in server.key.org -out server.key

第四步——签署您的 SSL 证书

您的证书几乎完成了,您只需要签名即可。

请记住,您可以通过将 365 更改为您喜欢的天数来指定证书的有效期。 目前,该证书将在一年后到期。

sudo openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

您现在已完成为您的第一个主机制作证书。

要创建第二个证书,请切换到第二个目录:

cd /etc/nginx/ssl/example.org

对第二个证书重复前三个步骤。 一旦两者都被摆平,您就可以开始将证书添加到您的虚拟主机。

第五步——创建虚拟主机

保存并准备好证书后,您可以在虚拟主机文件中添加您的信息。

虽然不是必需的,但我们可以创建两个虚拟主机文件来将虚拟主机存储在单独的文件中。

sudo nano /etc/nginx/sites-available/example.com

然后每个文件将包含虚拟主机配置(确保编辑 server_namessl_certificatessl_certificate_key 行以匹配您的详细信息):

 server {

        listen   443;
        server_name example.com;

        root /usr/share/nginx/www;
        index index.html index.htm;

        ssl on;
        ssl_certificate /etc/nginx/ssl/example.com/server.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com/server.key;
}

然后,您可以将适当的配置放入其他虚拟主机文件中。

sudo nano /etc/nginx/sites-available/example.org
 server {

        listen   443;
        server_name example.org;

        root /usr/share/nginx/www;
        index index.html index.htm;

        ssl on;
        ssl_certificate /etc/nginx/ssl/example.org/server.crt;
        ssl_certificate_key /etc/nginx/ssl/example.org/server.key;
}

第六步——激活虚拟主机

最后一步是通过在站点可用目录和站点启用目录之间创建符号链接来激活主机。

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/example.com
sudo ln -s /etc/nginx/sites-available/example.org /etc/nginx/sites-enabled/example.org

在所有虚拟主机就位后,重新启动 nginx。

sudo service nginx restart

您现在应该能够访问两个站点,每个站点都有自己的域名和 SSL 证书。

您可以通过仅输入域(例如。 example.comexample.org)或带有 https 前缀的域(https://example.comhttps://example .org)。

埃特尔·斯维尔德洛夫