Indicación de nombre del servidor
El soporte de SNI (Server Name Indication) para IBM® HTTP Server permite utilizar la selección de certificado, basándose en la extensión de SNI que envían los clientes TLS. No le permite utilizar otros valores relacionados con el protocolo de reconocimiento de un host virtual basado en nombres.
Definiciones para SNI
- Cada host virtual con una especificación de dirección coincidente, como "*:443", forma un grupo de hosts virtuales basados en nombres.
- El primer host virtual listado en un grupo de hosts virtuales basados en nombres es el host virtual predeterminado.
Requisitos para SNI
- El host virtual predeterminado debe especificar el argumento SNI en la directiva SSLServerCert.
- Sólo los hosts virtuales con una única especificación de dirección (como por ejemplo "*:443") pueden participar en SNI.
- Los hosts virtuales no predeterminados para un host virtual basado en nombre no deben contener directivas de este módulo distintas de SSLServerCert.
- "invalid" es un nombre de servidor reservado. Los hosts virtuales no deben especificar "ServerName invalid".
Formas de SNI
Hay dos formas de SNI:
- En la primera forma de SNI, sólo se utiliza un único host
virtual, y la directiva SSLSNIMap se utiliza para correlacionar
nombres de host y etiquetas de certificado.
<virtualhost *:443> ServerName example.com SSLEnable SNI SSLServerCert default SSLSNIMap a.example.com sni1-rsa SSLSNIMap a.example.com sni1-ecc SSLSNIMap b.example.com sni2 </virtualhost>
- En la segunda forma de SNI, se crea una serie de hosts virtuales
y la correlación de los nombres de host con las etiquetas de
certificado es a través de ServerName, ServerAlias que no sea comodín
y SSLServerCert.
<virtualhost *:443> ServerName example.com SSLEnable SNI </virtualhost> <virtualhost *:443> ServerName a.example.com SSLEnable SSLServerCert sni1 </virtualhost> <virtualhost *:443> ServerName b.example.com ServerAlias other.example.com SSLEnable SSLServerCert sni2 </virtualhost>