mehrere SSL Zertifikate für Domains aber nur eine IP

[whyte]

Hallo,

meine vHosts lösen sich per Domainname auf, das funktionier auch, glaub ich ... zumindest benutzt er die richtigen vHosts.

z.B. so:

Code: Select all

<VirtualHost *:443>
        DocumentRoot "/pfad"
        ServerName server1.domain.tld
        ServerAdmin webmaster@domain.tld
        ErrorLog /var/log/apache2/ssl/error_log
        TransferLog /var/log/apache2/ssl/access_log
        IndexOptions
        SSLEngine on
        SSLCertificateFile /opt/lampp/ssl/server1.crt
        SSLCertificateKeyFile /opt/lampp/ssl/server1.key
</VirtualHost>

<VirtualHost *:443>
        DocumentRoot "/pfad2"
        ServerName server2.domain.tld
        ServerAdmin webmaster@domain.tld
        ErrorLog /var/log/apache2/ssl/error_log
        TransferLog /var/log/apache2/ssl/access_log
        IndexOptions
        SSLEngine on
        SSLCertificateFile /opt/lampp/ssl/server2.crt
        SSLCertificateKeyFile /opt/lampp/ssl/server2.key
</VirtualHost>

Nun wollte ich für die verschiedenen vHosts evtl. eigene Zertifikate anlegen. Habe aber nun gelesen, dass das wohl nicht geht, wäre sehr blöde für mich.

Hat jemand eine Lösung ob das doch irgendwie geht, evtl. mit einem Trick, bevor ich die Kohle investiere ?

Danke
gruß
marco

[snowball]

Mir wäre keine Lösung bekannt.

Soweit ich mir erinnere liegt das Problem daran, dass zuerst eine verschlüsselte Verbindung aufgebaut wird und dann erst der Host zugeordnet. Aber logischweise ist der Server dann schon an der Zuordnung zertifikat<->vhost vorbei.


Solltest du dennoch eine Lösung finden, wäre ich ebenfalls sehr daran interessiert. 8)

[kama]

Hallo,

Du scheinst die Funktionsweise eines Zertifikates (SSL) bzw. die Verschlüsselung nicht verstanden zu haben.

Es ist einfach so, dass das Zertifikat, sprich die Verschlüsselung auf der IP Ebene stattfindet. Zu dem Zeitpunkt gibt es so etwas wie HTTP noch nicht..

somit ist es nicht möglich ein Zertifikat für einen VHOST anzugeben bzw. pro VHOST ein eigenes Zertifikat anzugeben.

Abgesehen davon, wo ist das Problem eben nur ein Zertifikat für verschieden VHOST zu haben? Das Zertifikat dient doch nur dazu, dass verschlüsselt wird und ein Anwender bei Bedarf prüfen kann, ob das auch wirklich Ok ist...

MfG
Karl Heinz Marbaise

[lord_pinhead]

Also was Kama meint ist: Pro IP ist nur ein Zertifikat möglich. Such mal nach Wildcard Zertifikaten, ist zwar eine ganz schlechte Lösung, aber wenn sich eine Domain ändert bzw. hinzugefügt wird musst du immer ein neues machen. Wenn du keine änderungen hast/planst, dann kannst du mehrere Domains in ein Zertifikat packen, dann läuft das auch mit https oder POP3/SMTP +SSL. Aber Pro IP ist nur ein Zertifikat möglich.

[duergner]

Das ist so nicht ganz korrekt. Es ist pro IP/Port Kombination nur Zertifikat moeglich.

[whyte]

Hallom,

vielen Dank für die Antworten.
Also lege ich mir so ein Wildcard Zertifikat zu mach ein vhost mit der IP und dem Port.
Aber wie unterscheide ich dann die vhosts der unterschiedlichen Domains ?

Gibts da ein Beispiel ?

gruß
Marco

[Roger Wilco]

Gibts da ein Beispiel ?

http://httpd.apache.org/docs/2.2/vhosts/name-based.html

Das Zertifikat gilt dann ja für alle Domains, die du eingetragen hast...

[whyte]

Hallo,

spielst du da auf das Beispiel mit "ältere Browser" an ??
Denn ansonsten mache ich ja genau das, was da steht, namebasierende vhosts.

Das andere wäre eigentlich ein SSL Proxy dann ...
Allerdings eben dann auch nicht für jeden Domain nutzbar.

Gruß

[kumpel2]

HI,

nutz die möglichkeit, mehrere "Zertifikate" in eins zu integrieren.

Da du dann mehrere Hosts in deinen Zertifikaten hast, funktioniert das dann.

LG