|
|
 |
随著虚拟主机技术的发展,功能越来越丰富,已经不仅仅只是满足个人网站的需要,越来越多的小型电子商务网站也采用了虚拟主机来建站,如何为这些商户提供经济、方便的 SSL 解决方案,成为虚拟主机供应商新的业务收入来源。
这个问题十分专业,有些像“先有鸡还是先有蛋”的问题。SSL协定层是在HTTP协定层下面的,当SSL连接建立时,SSL模块在Web模块之前和浏览器进行通讯并交换凭证、建立加密隧道。众所周知,Web服务器是通过HTTP资料包中的”Host”栏位来区分虚拟主机的。而SSL模块在把服务器凭证发送到浏览器时,还没有收到任何关于HTTP的资料包,更不知道虚拟主机的网域名称,因此SSL模块只能固定将一SSL凭证发送到浏览器,而不能根据网域名称有选择性的发送凭证。因此,您无法在一个IP位址的默认SSL 443埠下为多个虚拟主机配置多张凭证。
1、为需要SSL加密的虚拟主机配置不同的IP位址,埠号都使用443。例如: www.domain1.com 的SSL使用 202.96.101.1:443 www.domain2.com的SSL使用 202.96.101.2:443,通过 https://www.domain1.com 和 https://www.domain2.com 访问这2个SSL网站了
2、如果只有一个IP位址,可以为多个网站配置不同的SSL埠。例如: www.domain1.com 的SSL使用 202.96.101.1:443 www.domain2.com的SSL使用 202.96.101.1:1000,通过 https://www.domain1.com 和 https://www.domain2.com:1000 访问这2个SSL网站了
例如: 有2个虚拟主机 abc.domain.com、xyz.domain.com,你申请一张 *.domain.com的凭证,按照前面所说的原理,2个虚拟主机都使用同一个IP和默认的443埠,当浏览器访问IP:443埠时,SSL模块把通用SSL凭证传送给浏览器,建立合法的SSL隧道,然后WEB模块接收到HTTP资料包时判断网域名称选择虚拟主机。
原理是OK的,不幸的是你无法按照这个原理对IIS进行配置,IIS不支持SSL埠配置网域名称。如果仅依靠IIS,你不得不使用上面的2个方法(不同的IP位址或者不同的埠号)。
如果仅有1个IP位址,采用方法2时,abc.domain.com 使用 443埠、xyz.domain.com使用1000埠,你会发现一个现象,由于SSL埠不区分网域名称,因此https://abc.domain.com还是https://xyz.domain.com都是指向abc.domain.com网站内容,而https://abc.domain.com:1000还是https://xyz.domain.com:1000都是指向xyz.domain.com网站内容的。当然这也有好处,你可以在abc.domain.com下放一个程序,程序判断一下网域名称,如果用户访问https://xyz.domain.com就马上跳转到https://xyz.domain.com:1000,不会有任何的安全警告。
就是使用第三方的SSL模块来替代IIS处理SSL加密,将凭证安装反向代理服务器中,浏览器访问SSL反向代理服务器,然后反向代理服务器使用HTTP协定访问你的Web服务器。你可以选择SSL反向代理硬软件有:
1、支持SSL的负载平衡器,如F5、ArrayNetworks
2、使用ISA Server 2004软件,参见:这里。
3、使用免费的Squid软件,参见:这里。
4、使用免费的Stunnel软件,参见: 这里。
5、使用PortTunnel软件,参见: 这里。
我们推荐虚拟主机服务商采用:RapidSSL 简易版(RapidSSL),因为它具有:
| • |
RapidSSl凭证年服务费便宜,考虑到租用虚拟主机的客户对价格相对敏感,这款凭证是最有吸引力的。
|
| • |
通过Geotrust专有的在线申请技术,和WIS 汇智的在线平台,不需要提供书面证明,可在10分钟内获得凭证签发,这不仅可以帮助虚拟主机服务商降低人工成本,而且可以实现用户申请流程自动化。
|
| • |
安装简单
|
| • |
兼容99%以上的浏览器和Web服务器
|
|
|
|
|
