expertenaustausch > comm.software.* > comm.software.webserver

John E. Blossom (24.01.2008, 22:25)
Hallo,

ich habe momentan ein kleines Problem mit meinem Apache2 Server und zwar
geht es um eine Sache, die man eigentlich nicht machen sollte (aber dennoch
irgendwie geht...)

Es geht darum zwei VirtualHosts anzulegen, (let's say domain.zzz und
mail.domain.zzz).
Für beide Domains existieren gueltige, und korrekt eingetragene
Certificates, die von auch ordenlich signiert sind.

Für mail.domain.zzz wurde in dem VirtualHost Abschnitt auch das 'andere'
Certificate angegeben.

Die ganze geschichte lauft auch irgendwie, nur mit einem Problem:

ruft man auf, wird man korrekt in das angegebene
Verzeichnis umgeleitet, ABER es wird das Certificate von 'domain.zzz'
genommen, was natuerlich nicht auf die subdomain passt - die extrazeile
fuer das weitere mail.domain.zzz-Certificate wird offenbar komplett
ignoriert.
Liegt das tatsaechlich nur daran, das keine extra ip-address fuer den
zweiten virtualhost genommen wurde, oder uebersehe ich hier noch eine
kleinigkeit - die restlichen dinge, die von dem virtualhost abverlangt
werden funktionieren ohne (offensichtliche) probleme...

Leider kann ich keine weitere IP mehr hinzufuegen, daher sollte es so
irgendwie gehen... Die einzige Alternative waere auf domain.zzz mit
ssl-Verschluesselung zu verzichten.

Das Log-File spuckt nur folgendes aus, was es immer ausspuckt, wenn man SSL
in Verbindung mit Namensbasierter VirtualHost Zuweisung verwendet:
Carsten Wiedmann (25.01.2008, 00:02)
John E. Blossom schrieb:
> ruft man auf, wird man korrekt in das angegebene
> Verzeichnis umgeleitet, ABER es wird das Certificate von 'domain.zzz'
> genommen,
> Liegt das tatsaechlich nur daran, das keine extra ip-address fuer den
> zweiten virtualhost genommen wurde,


Genau daran liegt es. (Der SSL-Handshake wird nur über die IP-Adresse
gemacht und nicht über evtl. vorhandene Host-Header wie bei HTTP/HTTPS
vorkommen).

Gruß
Carsten
John E. Blossom (25.01.2008, 01:40)
Carsten Wiedmann wrote:

> Genau daran liegt es. (Der SSL-Handshake wird nur über die IP-Adresse
> gemacht und nicht über evtl. vorhandene Host-Header wie bei HTTP/HTTPS
> vorkommen).


Danke, dann ist das Problem ja geklaert...
Max Dittrich (25.01.2008, 14:01)
Am Thu, 24 Jan 2008 21:25:02 +0100 schrieb John E. Blossom:

[..]
> Leider kann ich keine weitere IP mehr hinzufuegen, daher sollte es so
> irgendwie gehen... Die einzige Alternative waere auf domain.zzz mit
> ssl-Verschluesselung zu verzichten.


Oder Du verwendest ein Wildcard-Zertifikat bzw. ein Zertifikat das weitere
"Subject Alternative Names" aufführt. Ersteres ist bei den üblichen
Anbieter recht teuer.

Grüsse,
..max
John E. Blossom (25.01.2008, 17:49)
Max Dittrich wrote:

> Am Thu, 24 Jan 2008 21:25:02 +0100 schrieb John E. Blossom:
> Oder Du verwendest ein Wildcard-Zertifikat bzw. ein Zertifikat das weitere
> "Subject Alternative Names" aufführt. Ersteres ist bei den üblichen
> Anbieter recht teuer.


Nein, das tue ich nicht. Es ist wirklich nur fuer eine einzelne Subdomain
jeweils ein einzelnes Zertifikat.
Rainer Sokoll (25.01.2008, 17:54)
Thus Max Dittrich wrote:

> Oder Du verwendest ein Wildcard-Zertifikat bzw. ein Zertifikat das weitere
> "Subject Alternative Names" aufführt. Ersteres ist bei den üblichen
> Anbieter recht teuer.


Die sind gar nicht (mehr?) sooo teuer. Entweder, man legt Wert auf ein
Zertifikat, dessen Issuer im Browser eingebaut ist, dann hat man wohl
auch die paar FRZ mehr - oder man signiert selber, dann kostet es
ohnehin nichts.

Rainer

PS: Nicht alle Clients können mit Wildcard-Zertifikate um...
John E. Blossom (25.01.2008, 18:32)
Rainer Sokoll wrote:

> Die sind gar nicht (mehr?) sooo teuer. Entweder, man legt Wert auf ein
> Zertifikat, dessen Issuer im Browser eingebaut ist, dann hat man wohl
> auch die paar FRZ mehr - oder man signiert selber, dann kostet es
> ohnehin nichts.


cacert.org - wobei ich mich frage, warum das zumindest noch nicht bei
firefox als 'trusted' eingepflegt wurde.
Max Dittrich (25.01.2008, 19:59)
Am 25 Jan 2008 15:54:51 GMT schrieb Rainer Sokoll:

> Thus Max Dittrich wrote:
> Die sind gar nicht (mehr?) sooo teuer. Entweder, man legt Wert auf ein
> Zertifikat, dessen Issuer im Browser eingebaut ist, dann hat man wohl
> auch die paar FRZ mehr - oder man signiert selber, dann kostet es
> ohnehin nichts.


Dort wo ich bisher ein Wildcard-Zertifikat benötigt habe, waren mir
200+/p.anno zuviel. Sollte es inzwischen deutlich günstiger gehen, wäre ich
interessiert wo.

> Rainer
> PS: Nicht alle Clients können mit Wildcard-Zertifikate um...


Zu letzt war ich mal so naiv und hatte ein Zertifikat für
"*.*.*.ssl-proxy.invalid" erstellt um so einigen Webseiten billig
SSL-Verschlüsselung zukommen zu lassen. Jedoch verbindet sich der IE nur
unter Meckern auf einen so zertifizierten Server (z.B.
). Der FF hingegen frist schon bei einem "*"
beliebige viele Domainkomponenten. :/

Grüsse,
..max
Ähnliche Themen