Indication de nom de serveur (SNI)
La prise en charge SNI (indication de nom de serveur) pour IBM® HTTP Server vous permet d'utiliser une sélection de certificats basée sur l'extension SNI qui est envoyée par les clients TLS. Elle ne vous permet pas d'utiliser d'autres paramètres d'établissement de liaison issus d'un hôte virtuel basé sur le nom.
Définitions de SNI
- Chaque hôte virtuel auquel correspond une spécification d'adresse (address-spec), telle que "*:443", constitue un groupe d'hôtes virtuels basé sur un nom.
- Le premier hôte virtuel répertorié dans un groupe d'hôtes virtuels basé sur un nom est l'hôte virtuel par défaut.
Exigences pour SNI
- L'hôte virtuel par défaut doit indiquer l'argument SNI à la directive SSLServerCert.
- Seuls les hôtes virtuels dotés d'une spécification d'adresse (address-spec) unique (par exemple, "*:443") peuvent contribuer au processus SNI.
- Les hôtes virtuels autres que ceux définis par défaut pour un hôte virtuel basé sur un nom ne doivent pas contenir de directives issues d'un module autre que SSLServerCert.
- "invalid" est un nom de serveur réservé. Les hôtes virtuels ne doivent pas spécifier "ServerName invalid".
Formats SNI
Il existe deux formats SNI :
- Dans le premier format SNI, un seul hôte virtuel est utilisé et la directive SSLSNIMap est utilisée pour mapper des noms d'hôte à des labels de certificat.
<virtualhost *:443> ServerName example.com SSLEnable SNI SSLServerCert default SSLSNIMap a.example.com sni1-rsa SSLSNIMap a.example.com sni1-ecc SSLSNIMap b.example.com sni2 </virtualhost>
- Dans le second format SNI, une série d'hôtes virtuels est créée et le mappage de noms d'hôte à des labels de certificat s'effectue via ServerName, ServerAlias (sans caractère générique) et SSLServerCert.
<virtualhost *:443> ServerName example.com SSLEnable SNI </virtualhost> <virtualhost *:443> ServerName a.example.com SSLEnable SSLServerCert sni1 </virtualhost> <virtualhost *:443> ServerName b.example.com ServerAlias other.example.com SSLEnable SSLServerCert sni2 </virtualhost>