基于lighttpd的多个SSL IP

Question

我有作为web服务器的lighttpd，并在其上安装了基于IP的SSL证书。

我希望有一种方法在服务器可能获得的每个新IP上拥有多个SSL证书。

例如，目前我有https://127.0.0.1，它可以工作，但是它证明CN = 127.0.0.1在其上，所以如果webserver从DHCP服务器获得一个新的IP，比如192.168.1.x，服务器将导致SSL不匹配。

相反，我需要一个专门针对IP地址的新证书。

如何创建基于多IP的SSL证书？当然是在莱特普。

Answer 1

我不确定我是否理解您的问题，但是如果您想在服务器上的所有IP接口上提供相同的证书，请定义一个套接字而不提供IP：

$SERVER["socket"] == ":443" {
     ssl.engine                  = "enable" 
     ssl.pemfile                 = "/path/to/ssl/certificate.pem" 
}

通过这种方式，它在所有接口上使用相同的证书(certificate.pem)侦听和服务https，无论分配了什么IP地址。

Answer 2

3个备选方案：

• 通过使用单独的$SERVER["socket"]块侦听每个ip来使用不同的证书
• 使用TLS/SNI (“服务器名称指示”)--所有客户端都不支持
• 使用SubjectAltName，请参阅http://wiki.cacert.org/VhostTaskForce (我建议使用此选项)