Перенаправление трафика через .htaccess или Virtualhost .Conf С HTTPS на CentOS 7 Multisite Server

В HTTPS порядок операций в начале соединения... далек от идеального. Это связано с тем, что HTTP изначально разрабатывался отдельно от SSL/TLS, и эти две технологии не идеально сочетались друг с другом.

Когда сервер принимает любое входящее соединение HTTPS, первым шагом является согласование SSL/TLS. Это происходит до того, как какие-либо другие данные будут переданы по соединению -, в частности , до того, как клиент сможет отправить заголовок HTTP (s ), указывающий имя сервера, который запрашивает клиент.

В результате, если сервер имеет несколько сертификатов для разных сайтов, ему может потребоваться слепо выбрать один и надеяться, что это сертификат для сайта, который запрашивает клиент. Если был представлен неправильный сертификат, клиент откажется верить всему, что сервер отправляет по этому соединению, и поэтому перенаправление клиента будет невозможно. «Подождите, я хотел bort, а теперь ваш сертификат подтверждает, что ваше имя вместо этого lisa? Это ошибка или что-то похуже, я не хочу с вами разговаривать». Клиент даже не даст серверу возможности предложить информацию о перенаправлении.

Поскольку виртуальный хостинг на основе имени -стал обычным явлением, для решения этой проблемы были разработаны две технологии :Индикация имени сервера (SNI )и альтернативные имена серверов (SAN ).

Индикация имени сервера — это расширение SSL/TLS, которое позволяет клиенту сообщать имя сервера на ранней стадии согласования SSL/TLS, а не только в заголовках запросов HTTP (s ). Если сервер поддерживает SNI, он может выбрать правильный сертификат для представления клиенту. Конечно, каждый VirtualHost должен иметь свой собственный сертификат :с Apache, это означает параметры SSLCertificateFileи SSLCertificateKeyFileдля каждого виртуального хоста, указывающие на сертификат, который соответствует ServerNameэтого виртуального хоста. И если у вас еще нет сертификата для bort, вам необходимо его получить.

Другим вариантом может быть наличие сертификата, подходящего для более чем одного виртуального хоста. Вот тут-то и появляется технология Server Alternate Names. Это расширение сертификата, которое позволяет сертификату перечислять несколько имен хостов, для которых он подходит. Вы можете получить новый сертификат для своего сервера, который использует SAN для перечисления lisa.example.comи bort.example.comв качестве допустимых DNS-имен для сертификата. Конечно, получение нового сертификата может быть проблемой.

К сожалению, поскольку и SNI, и SAN являются более поздними дополнениями к стандартам SSL/TLS, самые старые браузеры не обязательно будут их поддерживать. Но в принципе любой браузер, выпущенный в этом десятилетии, должен нормально их поддерживать.