apache 多个SSL站点中证书无法正确获得

littlebandit

两个SSL站点.
SSL全局配置如下:
LoadModule ssl_module modules/mod_ssl.so
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
在httpd.conf中启用了NameVirtualHost.
在配置SSL站点时,用的是一个IP,不同的域名
站点A---虚拟主机A,配置的证书是 certA
站点B---虚拟主机B配置的证书是 certB
重启apache之后.访问站点B,获得的证书一直都是certA的证书,根本没有获得certB证书.

这个问题不知道有没有人遇到过?因为SSL站点默认的配置就只有一份全局的SSL.CONF配置文件.其他的配置文件就没有用到证书了.

littlebandit

都没有人回复。
查了几天资料，在http://lamp.linux.gov.cn/Apache/ApacheMenu/ssl/ssl_faq.html中有提到：
为什么不可以使用基于域名的虚拟主机来标识不同的SSL虚拟主机?

基于域名的虚拟主机是用来标识不同虚拟主机的流行方法。这种方法允许多个不同的站点使用同一个IP地址和端口对。当人们将站点转移到SSL时，很自然的就认为可以使同相同的办法在同一台机器上运行多个SSL虚拟主机。

但事实是：没门！

原因在于SSL协议层位于HTTP协议层之下，HTTP协议是被封装在SSL协议中的，所以SSL会话必须在HTTP会话之前建立。因为在建立SSL会话的最初握手阶段，服务器无法知道HTTP请求头的Host字段的内容，也就无法确定究竟使用哪个虚拟主机的配置(例如允许使用哪些加密算法、服务器证书是哪个等等)，于是Apache就会使用匹配这个IP地址端口对的第一个主机的SSL配置。

当然，你也可以在同一个IP地址上使用基于域名的虚拟主机来标识多个非SSL虚拟主机(例如全运行在80端口)，同时再运行一个SSL虚拟主机(例如在443端口)。不过如果你确实这么做了的话，一定要确保在NameVirtualHost指令里明确指定端口号，像这样：

NameVirtualHost 192.168.1.1:80

另外一个解决方案：为不同的SSL虚拟主机使用不同的IP地址端口对。


基本上找到原因。还是自己对apache各个配置不深入，没了解到这个信息。
回复一下给更多碰到这个问题而基于解决的网友们。

哎～

xnlg

需要支持多个站点使用SSL认证，第一方法是加载SSL模块，但是需要每个站点都要使用独立IP，第二个方法是加载mod_gnutls来实现基于gnutls提供的ssl认证，可以一个IP多个站点使用SSL证书，但有个缺陷是winxp使用IE6时候会无效

ert7com

端口号被占用，解决方法
1、增加IP
2、其中一个站点不要使用默认的443端口，改成其他443端口，如8443
3、使用多域名证书，也就是一张证书上绑定多个域名的证书。

更多SSL证书的疑问可到我的博客里了解http://www.ert7.com

szgzwf

部署Entrust UCC 证书可以解决
ssl证书技术支持中心 http://www.etsec.com.cn