SSL in und mit Subdomain

[t-eddie]

Hallo RootForum,

also ich hab jetzt eine SSL-Seite angelegt (als Sub-Domain) - Zerfikate, authentifizieren mittels Client Zertifikate funktioniert alles bestens.

Das ganz sieht also so aus: https://ssl.domain.de

Jetzt habe ich aber unter http://domain.de Inhalte liegen und auch unter http://extra.domain.de auch inhalte liegen.
Diese Inhalte sind auch erreichbar, und wenn ich mich da mal vertippe und die Seite gibt es nicht - komme ich in mein HTTP Default Root Verzeichnis (also /var/www/) und ne Leere Seite ausgegeben.

Wenn ich mich jetzt aber bei der HTTPS Submain vertippe, liefert er das Zertifikat aus (und meckert das es für diese Seite nicht stimmt), egal muss er ja auch weil SSL ja IP basiert ist.

Aber er liefert mir auch die SSL-Seite aus, obwohl ich mich vertippt habe - und das möchte ich nicht.

Hab jetzt unter /etc/apache2/sites-available/ ne Datei angelegt -> default-ssl

Code: Select all

# DummyHost for DefaultSSL-Site

<VirtualHost IP.IP.IP.IP:443>
        DocumentRoot /var/www
# SSL
          SSLEngine On
          SSLCipherSuite HIGH:MEDIUM
          SSLCertificateFile    /etc/apache2/ssl/apache.pem
          SSLCertificateKeyFile /etc/apache2/ssl/6dcb4a74.0
</VirtualHost>

mittels a2ensite eingebunden. Apache restartet - keine fehlermeldungen im Log.


In der "normalen" default steht nur

Code: Select all

DocumentRoot /var/www

Hier mal der vollständigkeit halber der auszug aus der vhost.conf mit der SSL Subdomain:

Code: Select all

vhost.conf von SysCP anglegt:
Quote
NameVirtualHost IP.IP.IP.IP:80
NameVirtualHost IP.IP.IP.IP:443

# DummyHost for DefaultSite
<VirtualHost IP.IP.IP.IP:80>
ServerName static.IP.IP.IP.IP.clients.your-server.de
</VirtualHost>

# Domain ID: 32 - CustomerID: 7 - CustomerLogin: kth
<VirtualHost IP.IP.IP.IP:443>
  ServerName ssl.domain.de
  ServerAlias www.ssl.domain.de
  ServerAdmin ich@domain.de
  DocumentRoot "/var/www/kunden/webs/kth/kth-business/"
  php_admin_value open_basedir "/var/www/kunden/webs/kth/kth-business/"
  php_admin_flag safe_mode On
  Alias /webalizer "/var/www/kunden/webs/kth//webalizer/ssl.domain.de"
  ErrorLog "/var/www/kunden/logs/kth-ssl.domain.de-error.log"
  CustomLog "/var/www/kunden/logs/kth-ssl.domain.de-access.log" combined
# SSL
  SSLEngine On
  SSLCipherSuite HIGH:MEDIUM
  SSLCertificateFile    /etc/apache2/ssl/ssl.domain.de.crt
  SSLCertificateKeyFile /etc/apache2/ssl/ssl.domain.de.key

# Client-Zertifikatsabfrage aktivieren:
SSLCACertificateFile /etc/ssl/cacert.pem
SSLCARevocationFile /etc/ssl/cacert.crl
SSLVerifyClient require
SSLUserName SSL_CLIENT_S_DN_CN
</VirtualHost>

Anscheinden sind die einstellungen in der default-ssl wirkungslos...aber ich weiß nicht wirklich warum & wieso....ich hoffe irgendwer von euch kann mir eine Tipp geben.

Danke schonmal im vorraus..

[Roger Wilco]

Wie du schon richtig erkannt hast, läuft HTTPS über die IP-Adresse, der Host Header wird nicht ausgewertet bzw. erst nachdem die Verbindung schon hergestellt wurde.

Wenn du nicht willst, dass bei einem Vertipper die entsprechende Seite geöffnet wird (mit der Zertifikatsmeldung des Browsers), dann gib der Domain eine eigene IP-Adresse.
Der Apache sollte dann nur auf dieser IP-Adresse an Port 443 für HTTPS gebunden werden.

[t-eddie]

Gibt es dann gar keine andere Möglichkeit??? Kann man denn für HTTPS Seiten keine DocumentRoot einstellen??

[Roger Wilco]

Gibt es dann gar keine andere Möglichkeit??? Kann man denn für HTTPS Seiten keine DocumentRoot einstellen??

Doch, natürlich kannst du. Aber das ändert nichts an dem von dir beschriebenen "Problem", dass eben immer das gleiche Zertifikat ausgeliefert wird.

[kase]

Du kannst als ServerAlias beim Default SSL vHost mal deine IP Adresse eintragen (ServerAlias IP.IP.IP.IP), eventuell geht es dann. Ansonsten auch auf die Reihenfolge achten, wie die Dateien geladen werden, das spielt IMHO auch eine Rolle (glaube alphabetisch)

@Roger Wilco: Ihm geht es nicht um die Auslieferung des Zertifikates, sondern um die Auslieferung der SSL Seite (also quasi des DocumentRoots) und das sollte eigentlich möglich sein.

[t-eddie]

Danke kase, das werde ich nachher mal versuchen...

@Roger Wilco: genau wie kase gesagt hat, es geht mir nur um die Auslieferung der SSL Seite