1個服務器IP多個SSL證書（https多網站）的Apache設置辦法

可能出現的情況：

· 老式的SSL證書是一個證書一個站點一個IP的一一對應，但後來有了改進；

· 可以配置為一台服務器多個IP
，分別對應不同的站點、不同的證書
；

· 還可以配置為一台服務器一個IP，多個端口號對應不同的站點

、不同的證書；

· 後來出現SNI（Server Name Indication服務器名稱指示）技術
，讓https與http一樣實現一台服務器多個虛擬站點，每個站點都可以對應不同的證書，無需多個IP
、無需多個端口（全部都用https標準的端口號443）
，多個域名、泛域名都支持。

設置過程

· 首先SSL證書提供商，根據自己的需要及預算選擇
，如果自己的站點多，最好是選擇支持多域名、通配符的證書


，例如StartCom(link is external)的EV、OV、IV認證支持的證書（DV認證不支持通配符）；

· 購買需要的證書，這個過程中需要上傳或者粘貼CSR(PEM格式)，這個CSR可以用startcomtool.exe來生成（同時保存Private Key文件startssl.key和CSR文件startssl.csr到本機），也可以在Linux下運行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr來生成key和csr
；

· 下載生成的證書壓縮包文件example.com.zip，解壓後有ApacheServer.zip、IISServer.zip

、NginxServer.zip、OtherServer.zip四個壓縮文件，再解壓其中的ApacheServer.zip得到兩個證書文件1_root_bundle.crt、2_example.com.crt；

· 上傳startssl.key和startssl.csr兩個文件以及兩個證書文件1_root_bundle.crt、2_example.com.crt到apache/conf目錄下，將startssl.csr加到2_example.com.crt文件後麵形成一個新的文件startssl.crt；

· 修改httpd.conf或者包含的extra/httpd-ssl.conf文件，在ssl站點中設置key為上傳的startssl.key，crt為合並的startssl.crt
，證書鏈crt為1_root_bundle.crt（每個證書的這三個文件內容都不一樣，即使文件名一樣）
；

· 如果需要設置多個SSL站點
，在Apache 2.2以上版本中是開啟SSL模塊後是直接支持SNI的，添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off兩句後，就可以像http虛擬站點一樣設置多個https虛擬站點；

· 多個https虛擬站點可以分別指向多個不同的證書文件，其中第一個默認https站點是在後續https站點配置找不到的時候自動使用的默認配置
；

· https虛擬站點與http虛擬站點配置一樣，可以使用ServerAlias來將多個子域名指向同一個目錄、采用相同的SSL證書；

· 重啟apache，上(shang)麵(mian)修(xiu)改(gai)的(de)配(pei)置(zhi)就(jiu)可(ke)以(yi)生(sheng)效(xiao)，再(zai)用(yong)瀏(liu)覽(lan)器(qi)檢(jian)查(zha)是(shi)否(fou)有(you)問(wen)題(ti)，特(te)別(bie)是(shi)查(zha)看(kan)一(yi)下(xia)安(an)全(quan)證(zheng)書(shu)是(shi)否(fou)與(yu)申(shen)請(qing)的(de)一(yi)致(zhi)，如(ru)果(guo)提(ti)示(shi)網(wang)頁(ye)中(zhong)有(you)部(bu)分(fen)非(fei)安(an)全(quan)內(nei)容(rong)
，則(ze)要(yao)檢(jian)查(zha)嵌(qian)入(ru)的(de)非(fei)安(an)全(quan)部(bu)分(fen)內(nei)容(rong)

，改(gai)為(wei)安(an)全(quan)的(de)內(nei)容(rong)；

· 沒有問題了可以修改站點中的鏈接，讓http都改為https，如果是內部鏈接則與http或者https無關
，可以不修改
，如果是寫死的http，可以改為https或者內部鏈接
，還可以改為//example.com這樣的URL形式；

· 最後修改apache配置文件或者.htaccess
，讓以前的http訪問全部301跳轉到https對應的網頁。

代碼示範

下麵是一個修改httpd-ssl.conf文件的例子：

Listen 443
#Listen 8081
NameVirtualHost *:443        #這一條在apache2.4以後就不需要了
SSLStrictSNIVHostCheck off
<VirtualHost _default_:443>
DocumentRoot "/usr/local/apache/htdocs/easway.net"
ServerName 022ty.cn
ServerAlias easway.net
ServerAdmin you@easway.net
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5    #根據阿裏雲SSL證書安裝示例中填寫
SSLCertificateFile "/usr/local/apache/conf/server.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/easway">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>

<VirtualHost *:443>
DocumentRoot "/usr/local/apache/htdocs/example2.com"
ServerName example2.com
ServerAlias subdomain.example2.com
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "/usr/local/apache/conf/server2.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server2.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/example2.com">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>

修改.htaccess文件實現301永久重定向的例子：

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]