Moin Ronny,
On Mon, Dec 05, 2011 at 05:57:50PM +0100, Ronny Seffner wrote:
@Fabian SNI will ich nicht verwenden und auf was ich mich bei der Umstellung von mod_ssl auf mod_gnutls einlasse, weiß ich noch nicht. Am liebsten wäre es mir, die Umgebung so wenig wie möglich verändern zu müssen.
Du musst wie gesagt nicht auch mod_gnutls umsteigen. Mit einer aktuellen libopenssl kannst du das auch mit mod_ssl. Du musst nur das Name-based virtual Hosting auf Port 443 im Apache anmachen. Als ich damals SNI aktiviert hatte, bin ich auch zuerst darüber gestolpert, dass das vorherige Setup direkt funktioniert, aber sobald ich den zweiten SSL-vHost aktiviert hatte der Apache sich weigerte zu starten. Nach dem NameVirtualHost funktioniert es aber.
@all Ich glaube verstanden zu haben, dass das feature unter apache 2.2.9 eher ein bug ist. SSL kapselt doch HTTP und die URL steht im requste, also im HTTP. Das Ganze konnte wohl nur funktionieren (mit mod_ssl und damit ohne SNI), weil alle Subdomains "Kinder" ein und derselben Domain waren. "Schade" nur, dass der apache 2.2.16 aus dem [warn] ein [error] macht.
Das Problem, vor dem die meisten hier stehen würden, ist dass du selten ein Zertifikat für all deine Hosting-Kunden zugleich ausgestellt bekommst (wenn du nicht selbst die CA bist, oder alles unter deinem personal CACert-Account machst). Daher brauchst du verschiedene Zertifikate, was mit reinem SSL/HTTP wie beschrieben nicht geht. Dafür wurde SNI erfunden.
In deinem konkreten Fall kannst du SNI links liegen lassen, du hast ja das Glück, ein Zertifikat ausstellen zu können, dass alle deine HTTPS-Ziel-Domains enthält. Damit reicht ein globales Zertifikat.
Gruß, Andre