Server Name Indication
Die SNI-Unterstützung (Server Name Indication) für IBM® HTTP Server erlaubt die Zertifikatsauswahl basierend auf der von den TLS-Clients gesendeten SNI-Erweiterung. Sie ermöglicht Ihnen, andere Handshake-bezogene Einstellungen auf einem namensbasierten virtuellen Host zu verwenden.
Definitionen für SNI
- Jeder virtuelle Host mit einer übereinstimmenden Adressspezifikation (address-spec), z. B. "*:443", bildet eine Gruppe namensbasierter virtueller Hosts.
- Der erste aufgelistete virtuelle Host in einer Gruppe namensbasierter virtueller Hosts ist der virtuelle Standardhost.
Voraussetzungen für SNI
- Der virtuelle Standardhost muss das SNI-Argument für die Anweisung SSLServerCert angeben.
- Nur virtuelle Hosts mit einer einzelnen Adressspezfikation (address-spec), z. B. "*:443", können an SNI teilnehmen.
- Virtuelle Hosts in einer Gruppe namensbasierter virtueller Hosts, die keine virtuellen Standardhosts sind, dürfen keine anderen Anweisungen als SSLServerCert aus diesem Modul enthalten.
- "invalid" ist ein reservierter Servername. Die virtuellen Hosts dürfen nicht die Angabe "ServerName invalid" festlegen.
Formen von SNI
Es gibt zwei Formen von SNI:
- In der ersten Form von SNI wird nur ein einzelner virtueller Host verwendet und mit der Anweisung
SSLSNIMap wird die Zuordnung von Hostnamen und Zertifikatsbezeichnungen angegeben.
<virtualhost *:443> ServerName example.com SSLEnable SNI SSLServerCert default SSLSNIMap a.example.com sni1-rsa SSLSNIMap a.example.com sni1-ecc SSLSNIMap b.example.com sni2 </virtualhost>
- In der zweiten Form von SNI wird eine Reihe von virtuellen Hosts erstellt und die Zuordnung der Hostnamen und Zertifikatsbezeichnungen
erfolgt mit den Anweisungen ServerName,
ServerAlias (ohne Platzhalter) und SSLServerCert.
<virtualhost *:443> ServerName example.com SSLEnable SNI </virtualhost> <virtualhost *:443> ServerName a.example.com SSLEnable SSLServerCert sni1 </virtualhost> <virtualhost *:443> ServerName b.example.com ServerAlias other.example.com SSLEnable SSLServerCert sni2 </virtualhost>