Почему apache выдает мне это сообщение об ошибке в моих журналах? Это ложное срабатывание?
[warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
Я недавно обновился с Centos 5.7 до 6.3 и тем самым до более новой версии httpd. Я всегда делал свои конфигурации виртуального хоста ssl, как показано ниже. Где все домены, которые используют один и тот же сертификат (в основном / всегда сертификаты с подстановочными знаками), имеют один и тот же IP-адрес. Но никогда раньше не получал это сообщение об ошибке (или я, может быть, я недостаточно посмотрел в своих журналах?) Из того, что я узнал, это должно работать без SNI (указание имени сервера)
Вот соответствующие части моего файла httpd.conf. Без этого VirtualHost я не получаю сообщение об ошибке.
NameVirtualHost 10.101.0.135:443
<VirtualHost 10.101.0.135:443>
ServerName sub1.domain.com
SSLEngine on
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNull:!EDH:!DH:!ADH:!eNull:!LOW:!EXP:RC4+RSA+SHA1:+HIGH:+MEDIUM
SSLCertificateFile /opt/RootLive/etc/ssl/ssl.crt/wild.fareoffice.com.crt
SSLCertificateKeyFile /opt/RootLive/etc/ssl/ssl.key/wild.fareoffice.com.key
SSLCertificateChainFile /opt/RootLive/etc/ssl/ca/geotrust-ca.pem
</VirtualHost>
<VirtualHost 10.101.0.135:443>
ServerName sub2.domain.com
SSLEngine on
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNull:!EDH:!DH:!ADH:!eNull:!LOW:!EXP:RC4+RSA+SHA1:+HIGH:+MEDIUM
SSLCertificateFile /opt/RootLive/etc/ssl/ssl.crt/wild.fareoffice.com.crt
SSLCertificateKeyFile /opt/RootLive/etc/ssl/ssl.key/wild.fareoffice.com.key
SSLCertificateChainFile /opt/RootLive/etc/ssl/ca/geotrust-ca.pem
</VirtualHost>
Это потому, что ваша директива VirtualHost не соответствует вашей директиве ServerName и / или CN сертификата. Все три должны быть идентичными, если только у вас нет сертификата с подстановочными знаками, в котором не-подстановочные части должны быть идентичными.
Это не ошибка, это предупреждение.
И вы получаете это, потому что 1) вы обновили версию Apache и 2) у вас есть 2 виртуальных хоста SSL, использующих один и тот же точный IP-адрес (в отличие от использования 2 IP-адресов).
Поскольку вы используете общий IP-адрес, браузеры без поддержки SNI получат только первый веб-сайт, а не второй.