Mercurial > hg > nginx-site

comparison xml/cn/docs/http/configuring_https_servers.xml @ 593:130fad6dc1b4

Find changesets by keywords (author, files, the commit message), revision number or hash, or revset expression.
Replaced the uses of "url" element with "literal".
author Ruslan Ermilov <ru@nginx.com>
date Thu, 19 Jul 2012 05:17:45 +0000
parents 149f54c158f0
children 9934338f83af
comparison
equal deleted inserted replaced
592:d40371689c1c 593:130fad6dc1b4
200 ssl_certificate www.nginx.org.crt; 200 ssl_certificate www.nginx.org.crt;
201 ... 201 ...
202 } 202 }
203 </programlisting> 203 </programlisting>
204 204
205 使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机的证书,比方说就是<url>www.nginx.com</url>。这是由SSL协议本身的行为引起的。因为SSL规定在建立SSL连接以后,才能发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。 205 使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机的证书,比方说就是<literal>www.nginx.com</literal>。这是由SSL协议本身的行为引起的。因为SSL规定在建立SSL连接以后,才能发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。
206 </para> 206 </para>
207 207
208 <para> 208 <para>
209 最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址: 209 最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:
210 210
232 232
233 <section id="certificate_with_several_names" 233 <section id="certificate_with_several_names"
234 name="带有多个主机名的SSL证书"> 234 name="带有多个主机名的SSL证书">
235 235
236 <para> 236 <para>
237 也有其他一些方法可以实现多个HTTPS主机共享一个IP地址,但都有不足。其中一种方法是使用在“SubjectAltName”字段中存放多个名字的证书,比如<url>www.nginx.com</url>和<url>www.nginx.org</url>。这种方法的限制是“SubjectAltName”字段的长度。 237 也有其他一些方法可以实现多个HTTPS主机共享一个IP地址,但都有不足。其中一种方法是使用在“SubjectAltName”字段中存放多个名字的证书,比如<literal>www.nginx.com</literal>和<literal>www.nginx.org</literal>。这种方法的限制是“SubjectAltName”字段的长度。
238 </para> 238 </para>
239 239
240 <para> 240 <para>
241 另一种方式是使用主机名中含有通配符的证书,比如<url>*.nginx.org</url>。这个证书匹配<url>www.nginx.org</url>,但是不匹配<url>nginx.org</url>和<url>www.sub.nginx.org</url>。这两种方法可以结合在一起——使用在“SubjectAltName”字段中存放的多个名字的证书,这些名字既可以是确切的名字,也可以是通配符,比如<url>nginx.org</url>和<url>*.nginx.org</url>。 241 另一种方式是使用主机名中含有通配符的证书,比如<literal>*.nginx.org</literal>。这个证书匹配<literal>www.nginx.org</literal>,但是不匹配<literal>nginx.org</literal>和<literal>www.sub.nginx.org</literal>。这两种方法可以结合在一起——使用在“SubjectAltName”字段中存放的多个名字的证书,这些名字既可以是确切的名字,也可以是通配符,比如<literal>nginx.org</literal>和<literal>*.nginx.org</literal>。
242 </para> 242 </para>
243 243
244 <para> 244 <para>
245 最好将带有多个名字的证书和它的密钥文件配置在http配置块中,这样可以只保存一份内容拷贝,所有主机的配置都从中继承: 245 最好将带有多个名字的证书和它的密钥文件配置在http配置块中,这样可以只保存一份内容拷贝,所有主机的配置都从中继承:
246 246