김황중 2015-09

인증서 종류에 따라 달라요

443 한개로 다중 도메인 활용
https://www.comodossl.co.kr/products/detail/ssl-certificate-comodo-ev-multi-domain.aspx

물론 대부분은 인증서는 인증서당 각각 자신의 포트를 사용해야함
이게 대부분 알고 있는 저가형 인증서 이므로 상품 설명 패스..
사용 예시
http://www.xeschool.com/xe/step2_62

서버 관리자시니
잘 활용하여 필요한대로 적용해 주시면 됩니다.

실제 보안서버를 판매하는 애들은 대부분 영업직이라
자세한것까지는 알지도 셋팅할줄도 몰라요.
미리 해보고 싶어도 영업지원에 해당하는
시연을 위한 시연풉. 샘플. 테스트 제품 달라고 해도
총판은 그딴거 없다고 하는게 문제 아닐까 싶네요.


고로... 미리 해본놈들하고 거래하는것이
자신이 하지 못하는 경우 정신 건강에 좋다고 생각합니다.

저도 멀티형은 지원 못하고
단일형까지만 다룰줄 알아요....^^;;
내돈내고 테스트해보기에는 넘 낭비가 많다는.....

KSOFT이원재 2015-09

멀티 SSL 을 써야 할겁니다.
기본 3~4개 묶어서 파는 멀티 SSL 구매해서 사용해야 할거예요.

회원K 2015-09

멀티 ssl이 답인가요?
SNI도 이제는 안먹히는거 같아요.
1 ip+1 port가 유일하니...

정희섭 2015-09

되는데요 ?ㅇ?
전 잘 설정해서 쓰고 있습니다;
인증서 두개 도메인 두개입니다.

회원K 2015-09

443 같은 포트로 어떻게 사용하시나요?

apache 2.4.x 버젼인데, 안되더라구요.
ServerFault에서는 1 port + 1 ip이고, SNI를 해야 한다고 하는데...
http://serverfault.com/questions/109800/multiple-ssl-domains-on-the-same-ip-address-and-same-port

정희섭 2015-09

[hiseob@nsys_server hosts]$ cat 00_default.include
ServerAdmin hiseob@nsys.pe.kr

DocumentRoot "/srv/http"

<Directory "/srv/http">
        Options All Multiviews
        AllowOverride All
        Require all granted
</Directory>

[hiseob@nsys_server hosts]$ cat 00_default.conf
<VirtualHost _default_:80>
        ServerName nsys.pe.kr
        ServerAlias www.nsys.pe.kr
        Include /etc/httpd/conf/hosts/00_default.include

        <IfModule mpm_peruser_module>
                ServerEnvironment http http
        </IfModule>

        LogLevel info
        ErrorLog /var/log/httpd/default_error_log
        CustomLog /var/log/httpd/default_access_log combined
</VirtualHost>

<IfModule ssl_module>

Listen 443

SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

<VirtualHost _default_:443>
        ServerName nsys.pe.kr
        ServerAlias www.nsys.pe.kr

        Include /etc/httpd/conf/hosts/00_default.include
        Include /etc/httpd/conf/hosts/strong_ssl.include
        Include /etc/httpd/conf/hosts/cert_nsys.pe.kr.include

        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>

        <IfModule setenvif_module>
                BrowserMatch ".*MSIE.*" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
        </IfModule>

        LogLevel info
        ErrorLog /var/log/httpd/default_ssl_error_log
        CustomLog /var/log/httpd/default_ssl_access_log combined
        <IfModule log_config_module>
                CustomLog /var/log/httpd/default_ssl_request_log \
                "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        </IfModule>
</VirtualHost>
</IfModule>

[hiseob@nsys_server hosts]$ cat gaegroup.org.conf
<VirtualHost *:80>
        ServerName gaegroup.org
        ServerAlias www.gaegroup.org

        Include /etc/httpd/conf/hosts/gaegroup.org.include

        <IfModule mpm_peruser_module>
                ServerEnvironment http http
        </IfModule>

        LogLevel info
        ErrorLog /var/log/httpd/gaegroup_error_log
        CustomLog /var/log/httpd/gaegroup_access_log combined
</VirtualHost>

<IfModule ssl_module>
<VirtualHost *:443>
        ServerName gaegroup.org
        ServerAlias www.gaegroup.org

        Include /etc/httpd/conf/hosts/gaegroup.org.include
        Include /etc/httpd/conf/hosts/strong_ssl.include
        Include /etc/httpd/conf/hosts/cert_gaegroup.org.include

        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>

        <IfModule setenvif_module>
                BrowserMatch ".*MSIE.*" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
        </IfModule>

        LogLevel info
        ErrorLog /var/log/httpd/gaegroup_ssl_error_log
        CustomLog /var/log/httpd/gaegroup_ssl_access_log combined
        <IfModule log_config_module>
                CustomLog /var/log/httpd/gaegroup_ssl_request_log \
                "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        </IfModule>
</VirtualHost>
</IfModule>

[hiseob@nsys_server hosts]$ cat cert_gaegroup.org.include
SSLCertificateFile      /etc/httpd/conf/certs/www.gaegroup.org.crt
SSLCertificateKeyFile  /etc/httpd/conf/certs/www.gaegroup.org.key
SSLCACertificateFile    /etc/httpd/conf/certs/www.gaegroup.org.ca.crt

[hiseob@nsys_server hosts]$ cat cert_nsys.pe.kr.include
SSLCertificateFile      /etc/httpd/conf/certs/nsys.pe.kr.crt
SSLCertificateKeyFile  /etc/httpd/conf/certs/nsys.pe.kr.key
SSLCACertificateFile    /etc/httpd/conf/certs/nsys.pe.kr.ca.crt


그냥 이렇게 해서 쓰는데 별 문제 없이 쓰고 있습니다.

회원K 2015-09

다른거는 이거 1개네요.
mpm_peruser_module

정희섭 2015-09

저거는 사실 큰 의미 없고요, 저렇게 세팅하면 알아서 SNI 돌아 갑니다...
ssllabs에서 확인 해보니, default 는 sni 없이 돌아가고 gaegroup.org 는 sni 있어야 한다고 나오네요.

회원K 2015-09

mpm-itk는 perfork에서만 동작하는거라 설치가 안되구요...
ssl 설정은 같은거 같습니다.
IDC 기술에서는 불가능하니, port를 바꾸라는데...

김윤술 2015-09

리눅스는 멀티 SSL 되는 기능이고 윈도우는 IIS8 부터 가능합니다.
귀찮으면 SSL 프록시 전용 리눅스 만들어버리면 더 편합니다.

KSOFT이원재 2015-09

혹시 Centralized SSL Certificate Support 인가요?
여태 멀티SSL을 사야지만 되는줄 알았는데 단일SSL로도 되었군요.
감사합니다.

파닥파닥 2015-09

IP 여유가 있으면 ip based virtualhost 설정해서 포트는 443 으로 쓸수 있고
만약 1 IP 에 443 으로 써야 한다 하면 SAN 에 여러 도메인을 넣어서 쓰는 Multidomain  방식 인증서가 가장 클라이언트에 충돌내는일 없이 돌아가긴 합니다. (XP+IE6 도 지원 가능)

그렇지 않고, 여러 인증서를 한 IP + PORT 에 넣게 되면, SNI 가 지원되는 클라이언트 (VISTA 이후) 는 정상동작 하는데, 그렇지 않을 경우 정상동작하지 않는 현상이 발생하게 됩니다.
(XP+IE7 도 지원 안됩니다)

--
서버는 어떻게 해서든 지원하게 할 수 있는데, 문제는 클라이언트 (XP 유저) 가 문제입니다.
요즈음 서버들은 SNI 를 지원하는데, 아직도 남아있는 XP 유저가 문제입니다.

회원K 2015-09

보안 때문에 그런지 SNI를 모든 클라이언트가 지원하는게 아닌거 같더라구요.