OpenLiteSpeed添加默认网站 防止IP证书泄露

网站需要隐藏自己的服务器真实IP，但是有个很容易忽略的方式是在解析域名证书的时候，很容易被通过IP检查关联到自己的域名IP。这个时候如果一些不怀好心的人就针对这个IP进行攻击了，如果放置IP证书泄露呢，网上的教程蛮多，但是都是Nginx环境的，而且都是BT宝塔面板的教程的。对于使用OpenLiteSpeed或者LiteSpeed很少，所以很多小伙伴都不知道怎么设置。这里搬主题就分享一下OpenLiteSpeed添加默认网站，防止IP证书泄露教程给到大家。

原文地址：OpenLiteSpeed添加默认网站 防止IP证书泄露

如何通过证书查询对应域名证书

搬主题简单一点的说，就是我们的网站域名在申请SSL证书的时候，都是SSL证书对应相应的域名的。比如你的域名是banzhuti.com，那么一般都是www.banzhuti.com及banzhuti.com两个域名都是对应的一个SSL证书的。而你的服务器源IP地址默认是与这些SSL证书一一对应的。

如果知道你的服务器有一堆IP地址后，又不确定具体是哪个，那么可以通过工具查看IP地址对应的SSL证书及域名。有的人会说，怎么这么容易知道服务器的IP地址呢，其实很多方法，这里搬主题就分享一下【隐藏网站服务器主机源IP地址多种方法介绍】，只要使用其中的Censys搜索就行了。

举例来说，使用Censys搜索，搜索相应的域名，比如著名的HOSTLOC论坛，通过Censys搜索如下

可以搜索你的域名之前有哪些IP与你相关，这里可以是你之前解析过的IP，也有上面说的SSL证书对应的IP证书。比如点击上面的IP，就看到IP对应的域名了。

以上方法也可以搜索你的网站。

如果验证的话，可以直接输入以上IP，在浏览器的地址上输入https://IP，然后就得到如下结果

就可以看到IP对应申请的域名证书了，那么这个IP就和源服务器有关系

既然有关系，那么Censys搜索在搜索各类IP的时候，自动就搜集这些IP对应的域名，然后保存起来。所以你在搜索域名的时候，自动显示哪些IP与你有关系。

接下来要让默认IP对应的SSL证书与自己真实域名无关联，这样后续被扫描的时候，那就不会关联上了。

使用BT宝塔面板及Nginx环境的方法

1.首先我们创建一个空站点，域名随便填一个

2.将默认站点改为刚刚创建的站点

3.之后给这个网页加上一张空证书，我用的是亚洲诚信测试证书生成。域名的话随便填

https://myssl.com/create_test_cert.html

4.上传生成的证书然后保存并开启强制ssl，在网站的域名管理添加你的ip。

懒得生成证书可以用我生成好的

证书:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

秘钥

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

以上就是使用BT宝塔面板及Nginx环境的方法。

使用OpenLiteSpeed添加默认网站的方法

这里搬主题就专门介绍一下OpenLiteSpeed环境的，毕竟网上的教程很少。

首先我们登陆SSH工具，然后输入如下命令

mkdir -p /opt/signcert && cd /opt/signcert

然后回车

openssl req -x509 -newkey rsa:4096 -keyout openlitespeed-key.pem -out openlitespeed-cert.pem -nodes -days 365

这个时候就会生成自签名的SSL证书了。生成的时候在里面会让我们填信息，我们可以随便填，也可以不填直接回车就行了。生成完成即可

然后我们要登陆OpenLiteSpeed的后台面板，一般是7080端口。

然后点击【监听器】，找到对应的域名。点击SSL配置，将你生成的证书和私钥路径如下图填写在上面：

配置完上面这些后重启服务使其生效：

如果正常，你将可以在主面板的控制台看到监听器显示绿色：

这里解释一下为什么选择自签名的证书而不选择Let’encrypt这类证书呢？监听器这里配置自签名证书的目的是为了防止IP泄露SSL证书，导致别人可以通过这种方式反查到你的源站。

就类似于你平常给Nginx配置一个默认主机，然后给这个主机配置一个假证书，是一样的道理。

OpenLiteSpeed的监听器相当于Nginx的默认主机，它接管所有缺省主机名的请求，这样配置之后别人在访问你的服务器IP，显示的证书名是你自签的证书而不是你的真实域名证书。

接下来重启OpenLiteSpeed面板即可。我们可以直接在浏览器上输入自己的服务器源IP检测一下。

是不是也和这个域名无关了，都是自己的自定义信息。

以上就是OpenLiteSpeed添加默认网站，防止IP证书泄露教程。