Hallo an die Beitragenden,
@Thomas
Ich habe viele solche VirtualHosts, alle mit der gleichen IP-Adresse und dem gleichen Zertifikat:"
Auch mit mod_ssl und einem apachen genannter Version (2.2.16) ohne Fehlermeldungen beim Start?
@Fabian SNI will ich nicht verwenden und auf was ich mich bei der Umstellung von mod_ssl auf mod_gnutls einlasse, weiß ich noch nicht. Am liebsten wäre es mir, die Umgebung so wenig wie möglich verändern zu müssen.
@all Ich glaube verstanden zu haben, dass das feature unter apache 2.2.9 eher ein bug ist. SSL kapselt doch HTTP und die URL steht im requste, also im HTTP. Das Ganze konnte wohl nur funktionieren (mit mod_ssl und damit ohne SNI), weil alle Subdomains "Kinder" ein und derselben Domain waren. "Schade" nur, dass der apache 2.2.16 aus dem [warn] ein [error] macht.
Meine Aufgabe ist ein Upgrade von lenny nach squeeze. Die Umstellung von mod_ssl aud mod_gnutls mit allen Vor- und Nachteilen ist gesondert zu diskutieren. Einen workaround, die aktuell "spezielle" Konfiguration unter 2.2.16 ans Laufen zu bekommen kann ich mir wohl abschminken.
Danke an Euch incl. Andre
Mit freundlichen Grüßen / Kind regards Ronny Seffner
@Thomas
Ich habe viele solche VirtualHosts, alle mit der gleichen IP-Adresse und dem gleichen Zertifikat:"
Auch mit mod_ssl und einem apachen genannter Version (2.2.16) ohne Fehlermeldungen beim Start?
Ja.
/etc/apache2/ports.conf:
NameVirtualHost 213.239.202.144:80 Listen 80
<IfModule mod_ssl.c> NameVirtualHost 213.239.202.144:443 Listen 443 </IfModule>
Das Ganze konnte wohl nur funktionieren (mit mod_ssl und damit ohne SNI), weil alle Subdomains "Kinder" ein und derselben Domain waren.
Nicht Domain, sondern Zertifikat. Oder Schlüssel? Kann man mehrere Domains auf der selben IP-Adresse betreiben, wenn man den selben Schlüssel zertifizieren lässt?
"Schade" nur, dass der apache 2.2.16 aus dem [warn] ein [error] macht.
Meiner nicht.
Meine Aufgabe ist ein Upgrade von lenny nach squeeze.
Jetzt erst?
Thomas
Moin Ronny,
On Mon, Dec 05, 2011 at 05:57:50PM +0100, Ronny Seffner wrote:
@Fabian SNI will ich nicht verwenden und auf was ich mich bei der Umstellung von mod_ssl auf mod_gnutls einlasse, weiß ich noch nicht. Am liebsten wäre es mir, die Umgebung so wenig wie möglich verändern zu müssen.
Du musst wie gesagt nicht auch mod_gnutls umsteigen. Mit einer aktuellen libopenssl kannst du das auch mit mod_ssl. Du musst nur das Name-based virtual Hosting auf Port 443 im Apache anmachen. Als ich damals SNI aktiviert hatte, bin ich auch zuerst darüber gestolpert, dass das vorherige Setup direkt funktioniert, aber sobald ich den zweiten SSL-vHost aktiviert hatte der Apache sich weigerte zu starten. Nach dem NameVirtualHost funktioniert es aber.
@all Ich glaube verstanden zu haben, dass das feature unter apache 2.2.9 eher ein bug ist. SSL kapselt doch HTTP und die URL steht im requste, also im HTTP. Das Ganze konnte wohl nur funktionieren (mit mod_ssl und damit ohne SNI), weil alle Subdomains "Kinder" ein und derselben Domain waren. "Schade" nur, dass der apache 2.2.16 aus dem [warn] ein [error] macht.
Das Problem, vor dem die meisten hier stehen würden, ist dass du selten ein Zertifikat für all deine Hosting-Kunden zugleich ausgestellt bekommst (wenn du nicht selbst die CA bist, oder alles unter deinem personal CACert-Account machst). Daher brauchst du verschiedene Zertifikate, was mit reinem SSL/HTTP wie beschrieben nicht geht. Dafür wurde SNI erfunden.
In deinem konkreten Fall kannst du SNI links liegen lassen, du hast ja das Glück, ein Zertifikat ausstellen zu können, dass alle deine HTTPS-Ziel-Domains enthält. Damit reicht ein globales Zertifikat.
Gruß, Andre
lug-dd@mailman.schlittermann.de
-
Andre Klärner -
Ronny Seffner -
Thomas Schmidt