如何实现多https主机共享一个IP地

>        1 当要建立一个tls加密的连接时客户端首先发送一个client hello消息给服务端,其中包含了一个客户端生成的随机数 random_1, 客户端支持的加密套件(support ciphers), 以及支持的tls版本等信息;

        2 服务端收到了客户端的请求时,会从client hello消息中取出随机数random_1, 客户端的加密套件等信息,确定使用哪一种加密套件,以及再生成一个随机数random_2, 并将这些信息包含在server hello消息中发送给客户端;然后服务端还会将自己的证书信息发送给客户端

        3 客户端收到服务服务端的消息和证书后,会从中取出服务端生成的随机数random_2,以及确定的加密套件等信息并将服务端下发的证书拿到自己系统里的CA列表中进行验证,验证合法后从证书中取出服务端的公钥, 再生成一个随机数random_3并用服务端的公钥对random_3进行加密生成一个key发给服务端

        4 服务端收到客户端发来的key之后,用自己的私钥对其解密,取出随机数random_3

        5 至此,客户端和服务端都拥有了random_1, random_2, random_3三个随机数,以及确定了相同的加密套件现在只要根据相同的加密算法对这三个随机数进行加密生成一个密钥,服务端和客户端就拥有了这个相同的密钥此后的连接中,服务端和客户端都使用这个密钥对信息进行加密,就可以通过这种对称加密的方式进行密文传输了

        6 我们可以发现,在服务端和客户端交换随机数的时候,是通过服务端向客户端下发公钥以非对称加密的形式完成的当服务端和客户端都拿到了相同的三个随机数后,用这三个随机数生成了相同的密钥,此后的通信就是通过这个密钥加密和解密信息,实现了对称加密传输

         通常tls握手失败都是由服务端以及服务端tls配置问题导致的

        目前最主要的原因就是服务端的tls配置不支持ssl30但是,客户端这边的问题也很有可能会导致的tls握手失败比如,像系统时间不正确,或者浏览器更新所至等一些常见的客户端问题

        大部分情况下, tls握手失败都是由服务端问题所导致的 其中有些问题很容易解决, 有些问题不容易解决,甚至有一些问题不值得去解决

          客户端支持tls10和tls11版本,但服务端只支持tls12

        上面这个例子就是tls协议不匹配但是,在这种情况下,要修复这个问题,不应该是服务端来匹配低版本的协议,而应该是客户端升级到tls12来匹配服务端较新的协议 在目前,我们的建议是必须支持tls12和tls13协议,对于还不支持的网站必须添加上这两个版本

        tls/ssl并不是通过一个通过自身可以解决所有问题的算法,而是一系列不同算法的结合,不同的算法用以实现不同的功能,它们结合在一起组成了tls/ssl

        tls13版本的加密套件得到了进一步的完善在这之前, 加密套件的算法主要包含以下功能:

                对称密钥会话加密(Symmetric Session Key Encryption)

                 非对称公钥加密(Asymmetric Public Key Encryption)

                 证书签名哈希(Signature Hashing)

                 密钥生成(Key Generation)

         许多原因都会导致浏览器判定tls证书不合法, 这时浏览器就会阻止tls握手连接 在接下来的小节中, 我们会深入探讨由于此类技术问题所引发的tls握手失败问题

                域名不匹配: 网站域名与证书中的不相匹配

                 证书链不正确: 证书链中缺少中间证书

                 证书过期或被撤销: 服务端使用了不受信任, 过期, 或被撤销的tls证书

                 使用自签名证书: 使用自签名证书或内部网络路径混乱

        在以前,一个网站的非>一、正确解决办法：登陆淘宝Gworg选择多域名SSL证书就可以，首先普通的服务器无法实现一台安装多个独立的SSL证书的。
二、技术颁发：IIS8、apache最新版除外，虽然可以安装多个独立的证书，但对CPU、内存会消耗一些，如果长期的大站还是选择通配证书或者多域名证书。
三、常见应用环境：目前一台服务器支持安装多个SSL证书的是：宝塔BT、WDCP（以上仅支持PHP语言为主）

---