如何解决同一IP和端口中绑定多站点显示SSL证书不匹配

SSL证书配置在服务器上，不同服务器配置的方法也不尽相同，如果操作不当，可能会导致SSL证书无法正常使用。比如在服务器的同一IP地址和端口中绑定多站点但显示证书不匹配，出现这种问题该如何解决？

当一个HTTPS请求到达Web服务器时，该HTTPS请求为加密状态，需要相应的服务器证书解密该HTTPS请求。由于每个站点对应的证书不同，因此服务器需要通过请求中的主机头来选择用来解密的证书。但是主机头作为请求的一部分信息，也被作为加密对象，因此Web服务器选择第一个绑定到指定IP地址和端口的站点，使用该站点证书进行解密，导致Web服务器对其他站点请求解密失败从而发生报错。

以下提供三种Web服务器的解决方案：

1、IIS服务器

绑定到多端口

将每个HTTPS站点绑定到同一IP地址的不同端口。例如，将HTTPS站点绑定到[$Domain]:[$Port]，但是从客户端浏览网页时必须在地址栏中手动指定端口。

绑定到多IP地址

将每个HTTPS站点绑定到不同IP地址。此时，不存在请求冲突的情况，同时请求中也可以不添加主机头信息，但是该方法的经济成本较高。

通配证书

各站点采用通配符证书，此时任何访问各站点的请求都可以通过该证书解密。

升级IIS

将IIS版本升级到IIS8，IIS8中支持SNI（Server Name Indication）功能，服务器可以从请求中提取出相应的主机头从而获取相应的证书。

2、Nginx服务器

在Nginx服务器中，可通过增加一个虚拟主机的方式，完成多站点绑定到服务器同一个IP地址和同一个端口，请参考以下操作方法：

登录Nginx服务器，执行以下命令，打开Nginx配置文件

vim [$Nginx_Dir]/conf/nginx.conf

参考以下配置，编辑配置文件

server {

listen 443;

server_name [$Domain1];

ssl on;

ssl_certificate [$Certificate_Path1];

ssl_certificate_key [$Key_Path1];

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers [$Ciphers_Suite1];

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}server {

listen 443;

server_name [$Domain2];

ssl on;

ssl_certificate [$Certificate_Path2];

ssl_certificate_key [$Key_Path2];

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers [$Ciphers_Suite2];

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

3、Apache服务器

登录Apache服务器，执行以下命令，打开ssl.conf配置文件

vim [$Apache_Dir]/conf.d/ssl.conf

参考以下配置，编辑配置文件

Listen 443

NameVirtualHost *:443

<VirtualHost *:443>

……

ServerName [$Domain1]

SSLCertificateFile [$Certificate_Path1];

SSLCertificateKeyFile [$Key_Path1];

SSLCertificateChainFile [$Certificate_Chain1];

……

</VirtualHost>

<VirtualHost *:443>

……

ServerName [$Domain1]

SSLCertificateFile [$Certificate_Path2];

SSLCertificateKeyFile [$Key_Path2];

SSLCertificateChainFile [$Certificate_Chain2];