我使用的是 Domino 9.0.1 FP5。我計劃託管多個網站,所有這些網站都將使用 SSL 進行存取。我想為所有站點使用一個 IP 位址。我將獲得該網域的通配符證書,因此每個網站都將具有相同的網域但有不同的子網域。
例子:
site1.example.com
site2.example.com
在 Domino Administrator 中,我正在為每個網站建立 Internet 網站文件。文件指出,使用 SSL 時,您必須在「對應到此網站的主機名稱或位址」欄位中指定 IP 位址。
我理解這背後的原因 - 伺服器在解密 http 標頭之前不知道主機網域,但就我而言,因為我計劃使用通配符證書,所以我希望能夠告訴伺服器使用此證書,無論主機名稱。有什麼辦法可以做到這一點嗎?
答案1
來自技術說明:
但是,如果您在多個網站文件中輸入相同的 IP 位址,則無論在 Web 瀏覽器中輸入哪個主機名,都只會使用第一個 IP 位址進行 SSL 連線。
所以顯然你想做的事情本身不支持。但在購買之前產生自簽名通配符憑證並進行測試非常簡單。
答案2
當您想要使用通配符憑證時,這並不重要,您將 ssl 憑證放在哪裡,domino 將始終使用找到的第一個憑證。只需將通配符憑證放入網域的預設文件中,它將使用為所有網站配置的 kyr- 文件,並忽略其他網站文件的設定。我過去這樣做過,只要能找到 kry- 文件就不是問題。為了 100% 確定,只需將相同的 kyr- 檔案放入您的所有網站中,並僅將 IP 位址放入其中一個文件中。
編輯:順便說一句:在德國,您只需花費300 歐元即可獲得3 年期通配符證書...即使它在您的特殊情況下不起作用,您也可以將其用於許多服務/站點/工作,幾乎總是值得購買的...
答案3
不幸的是,我發現做到這一點的唯一方法是在流量到達 Domino 伺服器之前透過 haproxy、nginx 或類似的東西解密流量。
解密後,將流量作為 HTTP 傳送到 Domino,它將根據主機標頭選擇正確的網站。
這樣做實際上也有效能優勢,因為 Domino 在 SSL/TLS 方面效率不是很高,因此回應時間應該會略有改善。