1

我们正在运行一个为我们的客户使用自定义子域的 PHP 站点,因此我们在 Apache(版本 2.2.3)中实现了一个带有通配符 VHost 的通配符 SSL 证书。这些子域 PHP Web 应用程序还利用我们的 REST 和 RPC API 的两个 URL 前缀后面的 Pyramid Web 应用程序的反向代理。

我们还有一个在 Pyramid 上运行的管理界面。我们通常会简单地将代理反向代理到管理界面,但我似乎无法为这两个虚拟主机使用通配符 SSL 证书。我究竟做错了什么?

这是我们的虚拟主机配置:

NameVirtualHost *:443

<VirtualHost *:443>
    ServerName example.com
    ServerAlias *.example.com
    DocumentRoot /var/www/html/example/current/www
    ErrorLog logs/wild-example.com-SSL-error_log
    CustomLog logs/wild-example.com-SSL-access_log combined
    SSLEngine On
    SSLCertificateFile /etc/pki/tls/certs/star_example.com.2012.crt
    SSLCertificateKeyFile /etc/pki/tls/private/star_example.com.key
    SSLCACertificateFile /etc/pki/tls/certs/NetworkSolutions_CA.2012.crt
    <Directory /var/www/html/example/current/www>
        DirectoryIndex index.php
        Options FollowSymLinks
        AllowOverride All
    </Directory>
    ProxyRequests On
    ProxyPreserveHost On
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    ProxyPass /restapi/ http://127.0.0.1:6543/restapi/
    ProxyPassReverse /restapi/ http://127.0.0.1:6543/restapi/
    ProxyPass /rpcapi/ http://127.0.0.1:6543/rpcapi/
    ProxyPassReverse /rpcapi/ http://127.0.0.1:6543/rpcapi/
</VirtualHost>

<VirtualHost *:443>
    ServerName example.com
    ServerAlias admin.example.com
    DocumentRoot /var/www/html/example/current/www
    ErrorLog logs/admin-example.com-SSL-error_log
    CustomLog logs/admin-example.com-SSL-access_log combined
    SSLEngine On
    SSLCertificateFile /etc/pki/tls/certs/star_example.com.2012.crt
    SSLCertificateKeyFile /etc/pki/tls/private/star_example.com.key
    SSLCACertificateFile /etc/pki/tls/certs/NetworkSolutions_CA.2012.crt
    <Directory /var/www/html/example/current/www>
        DirectoryIndex index.php
        Options FollowSymLinks
        AllowOverride All
    </Directory>

    ProxyRequests On
    ProxyPreserveHost On
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>
    ProxyPass / http://127.0.0.1:6542/
    ProxyPassReverse / http://127.0.0.1:6542/
</VirtualHost>
4

2 回答 2

0

您是否在我们可以看到的 ssl_error 日志中收到错误消息?您应该能够只复制主虚拟主机并将其设置为特定的子域虚拟主机。

事实上,你原来的 *.example.com 应该只覆盖任何子域。我认为如果您只是将新子域指定为常规端口 80 虚拟主机,然后访问https://admin.example.com的站点,它应该受到保护。

于 2012-04-10T17:58:38.067 回答
0

删除以下行:

    ServerAlias *.example.com

并在第二个 VirtualHost 部分中,更改 ServerName:

    ServerName admin.example.com

拳头*。在第一个 VirtualHost 部分中捕获 admin.example.com。您也不希望它们都定义相同的 VirtualHost (example.com)。每个子域的 ServerName 需要不同。

于 2013-09-10T10:45:31.373 回答