最近では、単一のインターフェイス/ポートの組み合わせ (0.0.0.0:443 など) で複数の証明書を提供することは依然として困難です。HTTPS に 2 つの別々のポートを使用する場合は、問題ありません。異なるインターフェース (例えば 1.2.3.4:443 と 4.3.2.1:443) にバインドしたい場合でも問題ありません。両方を同じインターフェイス/ポートに配置したい場合は、サーバー名の表示に依存する必要があります。これは、Web サーバーのバージョンやクライアントでサポートされている場合とサポートされていない場合があります。
別の証明書が必要な場合は、おそらく別のホスト名も必要になるため、マシンに 2 つ目のインターフェイスを構成することができます。別のインターフェイスを有効にするためだけにマシンに複数の NIC を配置する必要はないことに注意してください。OS は別の IP アドレスで別のインターフェイスを作成し、NIC を共有できる必要があります。次に、各ホスト名が異なる IP アドレスを指すように DNS を設定し、各 SSL VirtualHost を適切な IP アドレスにバインドするようにします (ホスト名に0.0.0.0
or*
を使用する代わりに)。
正直なところ、SNI は最も簡単な方法です。それぞれに SSL を有効にした (異なる証明書を使用した) VirtualHosts を使用して、それが機能することを「期待」し、サーバーが問題なく起動するかどうかを確認します。その場合は、クライアントをテストして、視聴者にとって機能するかどうかを確認する必要があります. SNI のシナリオでは、Apache httpd がすべての SSL トラフィックを処理し、Tomcat にプロキシするためにmod_proxy_*
またはのようなものを使用すると想定しています。mod_jk
分割 IP シナリオでは、Tomcat 内で SSL を終了するか、すべてに httpd を使用して動的コンテンツを Tomcat にプロキシします。