질문/공유질답게시판

한서버에 여러 SSL 사용하시는 분들은 어떻게 하시나요?

고양이

제가 알기론 포트하나당

1개 도메인만 지원되는걸로 알고있는데

막 여러가지 포트를 써서 사용하시나요?

 

443 444 는 기본적으로 많이쓸테고 예전에 카페24도 SSL 하면 막 포트가 만번때로 갔던기억이 있어서요

위로 아래로
댓글 14
  • profile

    아.. 한서버에는 동일 포트의 SSL설치가 불가능 하군요.. 배워갑니다...

    저는 클라우드플레어 SSL을 사용하거나 LET'S ENCRYPT 만 사용해보고 직접 설치는 안해봐서

    처음듣는 정보네요

  • profile profile
    아 잘못된 정보일 수도 있어요!
  • profile profile
    알고 계신게 맞는데요. 여러사이트를 쓰는 방법이 있다고는 합니다.. SNI 뭐라고 부르는 기술인데요... 클라우드플레어에서 이용자들에게 발급하는 무료인증서가 같은 기술이라고 합니다. 하지만 이렇게 제공하는 호스팅의 ssl이용하면 웹검색이 잘 안되는 수가 있습니다. 물론 네이버와 같은 검색봇이 멍청해서 그렇긴 하지만요..
  • profile

    원래는 불가능하나, SNI라는 TLS 프로토콜 확장으로 가능합니다.
    https://en.wikipedia.org/wiki/Server_Name_Indication

     

    서버쪽은 아파치는 2.2.12 버전부터, nginx는 0.5.23 버전 이상부터 지원하며, 그냥 443 포트에 여러 가상 호스트를 등록하면 자동으로 활성화됩니다.

    클라이언트쪽은 XP에 IE8 등 오래된 브라우저가 아니라면 거의 전부 지원합니다.

     

    SNI가 필요한 이유는 HTTPS 연결 과정 자체에 있는데요, 일단 어느 호스트에 접속하는지 알리기 위해서는 서버에 자료를 보내야 하지만 서버에 자료를 보내기 위해서는 인증서가 필요하기에 SNI를 지원하지 않는 경우 기본 인증서가 전달되는 것입니다. 포트별로 인증서를 나눌 경우 포트 번호로 어느 호스트에 접속하는지 알 수 있게 되므로, 올바른 인증서를 보낼수 있는 것입니다.

    이 한계점을 TLS 핸드셰이크 과정에서 접속 호스트를 보내 해결하는 것이 SNI입니다.

  • profile profile

    아파치 2.2.15 버전입니다.

     

    <VirtualHost abc.co.kr:443>
    NameVirtualHost abc.co.kr:443
    DocumentRoot /home/abc/www/
    ServerName abc.co.kr

    SSLEngine on
    SSLCertificateFile /home/ssl/2017/www_abc_co_kr.crt
    SSLCertificateKeyFile /home/ssl/2017/myserver.key
    SSLCACertificateFile /home/ssl/2017/www_abc_co_kr.ca-bundle
    </VirtualHost>

    <VirtualHost qqqqqq.com:443>
    DocumentRoot /home2/qqqqqq/www/
    ServerName qqqqqq.com

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/qqqqqq.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/qqqqqq.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/qqqqqq.com/chain.pem
    SSLCACertificateFile /etc/letsencrypt/live/qqqqqq.com/fullchain.pem

    </VirtualHost>

    이렇게 사용중인데

    abc 껄 빼면 아래 SSL 이 작동하는데.
    자꾸 위에 abc.co.kr 사이트가 우선되는것 같습니다.

  • profile

    Let's Encrypt는 인증서 하나에 여러 도메인을 연결할 수 있기 때문에 SNI를 지원하지 않는 브라우저에서도 문제가 없습니다. 같은 IP, 같은 포트에 최대 100개까지 도메인을 연결할 수 있어요.

     

    SAN이라는 기능인데, 같은 기능을 유료인증서에 넣으려면 일반 인증서의 10개 가까운 바가지를 써야 하죠.

  • profile profile
    최대 100개이군요..
    저도 해당 서비스를 지원하는 웹호스팅을 이용중이라 이 부분이 참 마음에 들어요.
    Let's Encrypt 지원하는 웹호스팅 업체는 100 계정 넘어가면 서버를 추가 해야 되는가 봅니다 ㄷ ㄷ
  • profile profile
    SNI를 써도 상관없다고 하는 사이트들만 따로 모아도 되지요.
    그러면 1000개든 10000개든 상관이 없을 테니...
  • ?
    SNI 쓰면 여러개의 인증서 쓰면 됩니다.

    다만 SNI가 안되는 구형 브라우저에서는 접속이 안됩니다.

    저는 여러개의 와일드카드 인증서를 3-4개 받아서 하나의포트 하나의 아이피에서 사용하고 있습니다.

    그래서 기본적으로 메인 홈페이지는 잘되고

    나머지 홈페이지는 SNI 연결이 가능한 브라우저만 접속이 가능합니다
  • ? profile
    실례가 안된다면
    SNI 관련된 자료 찾아볼 수 있는곳 있을까요?
    한글로된 페이지로~
  • profile ?
    에공 늦었네요.

    제가 찾아봤을 땐 한글 자료는 없었습니다.

    구글링.추천합니다.
  • ? profile
    아아 ㅎㅎ 그래도 덕분에 잘적용 마쳤습니다.
    사소한거 하나만 잘못되도 에러를 발생하더라구요 나쁜아파치 ㅠㅠ
    xe 익스6에서도 사이트 잘뜨네요 다행히 ㅎ
  • ?
    2016서버에 Let's Encrypt 설치하고 테스트를 하고 있는데요~Let's Encrypt여러개의 도메인을 사용할려면 어떻게 해야 하나요???
  • ? profile
    도메인마다 발급받아서 엔진엑스에 해당 설정을 해줍니다.