Server Name Indication

Die SNI-Unterstützung (Server Name Indication) für IBM® HTTP Server erlaubt die Zertifikatsauswahl basierend auf der von den TLS-Clients gesendeten SNI-Erweiterung. Sie ermöglicht Ihnen, andere Handshake-bezogene Einstellungen auf einem namensbasierten virtuellen Host zu verwenden.

Definitionen für SNI

  • Jeder virtuelle Host mit einer übereinstimmenden Adressspezifikation (address-spec), z. B. "*:443", bildet eine Gruppe namensbasierter virtueller Hosts.
  • Der erste aufgelistete virtuelle Host in einer Gruppe namensbasierter virtueller Hosts ist der virtuelle Standardhost.

Voraussetzungen für SNI

  • Der virtuelle Standardhost muss das SNI-Argument für die Anweisung SSLServerCert angeben.
  • Nur virtuelle Hosts mit einer einzelnen Adressspezfikation (address-spec), z. B. "*:443", können an SNI teilnehmen.
  • Virtuelle Hosts in einer Gruppe namensbasierter virtueller Hosts, die keine virtuellen Standardhosts sind, dürfen keine anderen Anweisungen als SSLServerCert aus diesem Modul enthalten.
  • "invalid" ist ein reservierter Servername. Die virtuellen Hosts dürfen nicht die Angabe "ServerName invalid" festlegen.
Formen von SNI
Es gibt zwei Formen von SNI:
  1. In der ersten Form von SNI wird nur ein einzelner virtueller Host verwendet und mit der Anweisung SSLSNIMap wird die Zuordnung von Hostnamen und Zertifikatsbezeichnungen angegeben.
    <virtualhost *:443>
      ServerName example.com
      SSLEnable SNI
      SSLServerCert default
      SSLSNIMap a.example.com sni1-rsa
      SSLSNIMap a.example.com sni1-ecc
      SSLSNIMap b.example.com sni2
    </virtualhost>
  2. In der zweiten Form von SNI wird eine Reihe von virtuellen Hosts erstellt und die Zuordnung der Hostnamen und Zertifikatsbezeichnungen erfolgt mit den Anweisungen ServerName, ServerAlias (ohne Platzhalter) und SSLServerCert.
    <virtualhost *:443>
      ServerName example.com
      SSLEnable SNI
    </virtualhost>
    <virtualhost *:443>
      ServerName a.example.com 
      SSLEnable
        SSLServerCert sni1
    </virtualhost>
    <virtualhost *:443>
      ServerName b.example.com 
      ServerAlias other.example.com
      SSLEnable
        SSLServerCert sni2
    </virtualhost>

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_sni
Dateiname:rihs_sni.html