为什么需要配置多个SSL证书？

想象一下你的网站就像一栋大楼，SSL证书就是门锁。过去一栋楼可能只需要一个大门（一个域名），但现在很多大楼都有多个入口（多个子域名或不同域名）。比如：

- 主站用 www.yourdomain.com

- 博客用 blog.yourdomain.com

- API服务用 api.yourdomain.com

- 移动端用 m.yourdomain.com

每个"入口"都需要自己的"门锁"(SSL证书)，这就是我们需要在Apache中配置多个SSL证书的原因。

Apache支持多SSL证书的技术基础

Apache主要通过两种技术实现多SSL证书支持：

1. SNI（Server Name Indication）：就像快递员送货时先问"这是张三家吗？"，然后才决定把哪个包裹（哪个证书）递出去。现代浏览器都支持SNI。

2. IP-based SSL：为每个域名分配独立IP地址，就像给大楼每个入口都配专属地址。这种方法逐渐被淘汰，因为IPv4地址稀缺。

准备工作：检查Apache环境

在开始前，我们需要确认Apache已经"武装"好了：

```bash

查看Apache是否加载了SSL模块

apachectl -M | grep ssl

检查OpenSSL版本(至少1.0.2以上)

openssl version

确认监听443端口

netstat -tulnp | grep 443

```

如果缺少ssl_module，需要用`a2enmod ssl`启用它。

实战配置：基于SNI的多证书设置

假设我们有两个域名：

1. example.com - 主站点

2. shop.example.com - 在线商店

第一步：准备证书文件

通常你会从CA获得以下文件：

example.com/

├── cert.pem

公钥证书

├── chain.pem

中间证书链

└── privkey.pem

私钥文件

shop.example.com/

├── cert.pem

├── chain.pem

└── privkey.pem

安全提示：私钥文件权限应设为600（仅所有者可读写）。

第二步：修改Apache配置文件

编辑 `/etc/apache2/sites-available/default-ssl.conf` (路径可能因系统而异)：

```apacheconf

ServerName example.com

SSLEngine on

example.com的证书配置

SSLCertificateFile /path/to/example.com/cert.pem

SSLCertificateKeyFile /path/to/example.com/privkey.pem

SSLCertificateChainFile /path/to/example.com/chain.pem

...其他配置...

ServerName shop.example.com

shop.example.com的证书配置

SSLCertificateFile /path/to/shop.example.com/cert.pem

SSLCertificateKeyFile /path/to/shop.example.com/privkey.pem

SSLCertificateChainFile /path/to/shop.example.com/chain.pem

第三步：测试并重启Apache

测试配置文件语法是否正确

apachectl configtest

重启Apache使配置生效

systemctl restart apache2

HTTPS最佳实践补充配置

仅仅安装多个SSL证书还不够，我们还需要强化安全性：

SSL协议和加密套件设置(防止弱加密)

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256

HTTP严格传输安全(HSTS)

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

OCSP装订(提高TLS握手速度)

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

常见问题排查指南

问题1：浏览器提示"此网站的安全证书有问题"

- ?检查是否上传了完整的证书链(包括中间CA)

- ?确保证书与请求的域名完全匹配(不能用example.cm代替example.com)

问题2：只有默认虚拟主机的证书生效

- ?确认每个``块都有正确的`ServerName`

- ?检查是否启用了SNI支持(`openssl s_client -connect yourdomain:443 -servername yourdomain`)

问题3：性能下降明显

- ?考虑启用会话复用(`SSLSessionCache`)

- ?使用更高效的椭圆曲线(如prime256v1而非secp384r1)

SSL/TLS的未来趋势与建议

随着技术的发展，我有几个专业建议：

1. 自动化管理：使用Certbot等工具自动续期Let's Encrypt证书

`certbot --apache -d example.com -d shop.example.com`

2. 升级到TLS 1.3：最新版本更安全高效

`SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2`

3. 监控与告警：设置Nagios或Zabbix监控所有证书过期时间

4. 混合云考虑：如果使用CDN或WAF，需要在云端和源站都正确配置证书

记住，网络安全不是一次性的工作。定期审计你的SSL/TLS配置（推荐每季度一次），保持对最新漏洞的关注（如心脏出血、DROWN等），才能确保网站长期安全运行。

TAG:apache里配置多个ssl证书,ssl证书多个域名,apache2配置ssl,apache配置https证书,apache ssl,apache配置多个网站