Apache run multiple SSL Virtual Host

基本上要 run single SSL site 在 Apache 上還蠻容易的
但再加上了一個 SSL site 問題就來了
不就在 SSL zone (httpd-ssl.conf)那邊加上另外一個 Virtual Host 就好了嗎?
SSL 的 Virtual Host 從 Name Based 換到 IP Based
再加上額外的 Private IP 也是不行

後來用瀏覽器連 Private IP 的 SSL 卻是正常的
才想到說應該把那 Private IP 也 mapping 到另外一個 Public IP
由於我們公司主機在防火牆下
所以除了更改 DNS 外,還有修改一下防火牆的規則

舉個實際例子說明:
Public IP 200.200.200.1 (80 & 443) 原本對應到 Private IP 10.1.1.1
後來加入了一個 10.1.1.2 的 Private IP
但連 https://b.test.com 他顯示的認證還是 b.test.com 的

如果只有一個 Public IP
那就只能指定其他的 port(如 https://200.200.200.1:4433) 了
80 跟 443 以外的 port 一般人都蠻難接受的(要公開的話很不方便,自用就還好)
所以還是多個 IP 好辦事阿~

提供 Apache 的相關設定供參考
這邊僅提供 SSL Virtual Host 的部份
我並沒有去設別設定 Port 80 (httpd-vhost.conf)那邊
Port 80 (httpd-vhost.conf)那邊還是維持 Name Based 的方式

Listen 10.1.1.1:443
Listen 10.1.1.2:443
NameVirtualHost 10.1.1.1:443
NameVirtualHost 10.1.1.2:443

  DocumentRoot "/home/www/a.test.com"
  ServerName a.test.com:443
  ServerAdmin service@test.com
  ErrorLog "/usr/local/apache2/logs/error_ssl_log"
  TransferLog "/usr/local/apache2/logs/access_ssl_log"
  SSLEngine on
  SSLCertificateFile /root/ssl/a.test.com.crt
  SSLCertificateKeyFile /root/ssl/a.test.com.key
  SSLCACertificateFile /root/ssl/a_gd_bundle.crt

  DocumentRoot "/home/www/b.test.com"
  ServerName b.test.com:443
  ServerAdmin service@test.com
  ErrorLog "/usr/local/apache2/logs/error_ssl_log"
  TransferLog "/usr/local/apache2/logs/access_ssl_log"
  SSLEngine on
  SSLCertificateFile /root/ssl/b.test.com.crt
  SSLCertificateKeyFile /root/ssl/b.test.com.key
  SSLCACertificateFile /root/ssl/b_gd_bundle.crt

環境:
  • CentOS 5.9 x86_64
  • Apache 2.2.24
  • OpenSSL 0.9.8e

參考資料:



Comments

Post a Comment

Popular posts from this blog

CentOS7 如何新增/移除 Rich Rule for firewalld

如果要針對某個 ip 開放某個 port 需要用到 rich rule 來設定 針對 public zone 列出永久的 rule # firewall-cmd --zone=public --list-all --permanent 針對特定的 ip 開放特定的 port 這邊是針對 sql server 開放 # firewall-cmd --add-rich-rule="rule family="ipv4" source address="1.1.1.1" port port="1433" protocol="tcp" accept" --permanent 如果要移除 rich rule # firewall-cmd --permanent --remove-rich-rule 'rule family="ipv4" source address="1.1.1.1" port protocol="tcp" port="1433" accept' PS. webmin 看不到 rich rule, 所以需要用 cmd 才能設定
Read more

mac 安裝 mtr

Image
macOS 上要安裝 mtr 看似簡單 $ brew install mtr 如果沒安裝過 HomeBrew 請參考這邊 mtr 可拿來檢查點對點中間的網路狀態 它結合 ping 及 traceroute 的功能 已內建於大多數的 Linux 中 詳細的說明可參考這邊 但這邊有個坑 由於安裝好的 mtr 不在 /usr/local/sbin 中 macOS 中也不存在這這個目錄(macOS 10.14.3) 所以會出現以下的錯誤 Error: The brew link step did not complete successfully The formula built, but is not symlinked into /usr/local Could not symlink sbin/mtr /usr/local/sbin is not writable. You can try again using: brew link mtr ==> Caveats mtr requires root privileges so you will need to run sudo mtr . You should be certain that you trust any software you grant root privileges. 執行 brew link mtr 會出現 Linking /usr/local/Cellar/mtr/0.92… Error: Could not symlink sbin/mtr /usr/local/sbin is not writable. 如何設定 1. 建立目錄及設定權限 sudo mkdir /usr/local/sbin && sudo chmod ug+rwx /usr/local/sbin && sudo chown $(id -un):admin /usr/local/sbin 2. 設定 PATH 如果有裝 zsh 的話 請編輯 vi .zshrc 如果沒有使用 zsh 請編輯 vi .bash_profile 將下面的部分貼到最下方 export PA
Read more

Howto use Postman test Cors

Image
Postman 是一個很方便測試 api 的工具 沒有他我不知道人生要怎麼過啊! 開發程式上由於不同主機都一定會遇到 Cors 的問題 如果不要自己寫程式測試 那最快的方式就是用 Postman 了 請記得這邊要選「options」 然後 Header 裡面加入這兩行就可以了 這邊的變數視你的狀況而定 我的環境是利用 token 帶 jwt token 且沒有使用認證的機制 Access-Control-Request-Headers : token Access-Control-Request-Method : GET Status 回傳 200 代表有開通 Cors 如果沒開通會回傳 405 我這邊 Server side 是用 Lumen 搭配 這個套件 使用
Read more