RootForum Community

Hallo.

Habe ich korrekt verstanden, dass man nur jeweils einen Apache VirtualHost pro IP und/oder Port mit SSL "versehen" kann? Warum das denn? Ich habe einige Domains auf dem Server, die gerne ihr eigenes Cert haben können wollen. Muss ich da für jeden ne eigene IP "ordern"? BEsonders bei Subdomains is das doch nervig... und Kostenintensiv...

Hab ich nen Knick im Kopf? Könnter mir eventuell auf die Spünge helfen, wie man das lösen könnte? Bestimmt hab ich was übersehen.
Hätte noch paar mehr Fragen ,aber eins nachm andren :D

Danke schonmal.

Snoop wrote:Habe ich korrekt verstanden, dass man nur jeweils einen Apache VirtualHost pro IP und/oder Port mit SSL "versehen" kann?

Ohne Scherze wie SNI oder ein SSL-Zertifikat mit mehreren CNs bzw. subjAltNames: Ja.

Snoop wrote:Warum das denn?

SSL ist eine Transportverschlüsselung, d. h. die Verbindung ist schon verschlüsselt und das Zertifikat muss überprüft werden, bevor der Host-Header von HTTP/1.1 geschickt wird.

Ach so muss man das sehen. Ja dann is das unvermeidbar.
Okay. Also ich hab jetzt (vorerst) ein SSL-Zertifikat erstellt mit CN=*.test.tld
Somit kann theoretisch jede subdomain auf dem server angesprochen werden. Aaber jetzt hab ich das Problem mit dme Einrichten der VirtualHosts:
Folgende Configuration:

NameVirtualHost 123.123.123.12:443
<VirtualHost 123.123.123.12:443>
ServerName global-ssl
# SSL (START)
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/bla.crt
SSLCertificateKeyFile /etc/apache2/ssl/blubb.key
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
# SSL (ENDE)

DocumentRoot /var/www/apache2-default/
## bla ##
</VirtualHost>

Habs mal gekürzt. Das is die "Globale Einstellung", wo also jeder https-Aufruf zB auf die IP (Fantasieip,s.o.), oder nen domainnamen ,der auf die ip linkt, nur die tolle apache.default-seite anzeigt... :D

Soo. Nun kommt noch das hier hinzu:

<VirtualHost webmail.123.tld:443>
ServerName webmail-ssl
DocumentRoot /var/www/webmail/http
ServerAlias webmail.123.tld

<Directory "/var/www/webmail/http">
allow from all
Options +Indexes
</Directory>
</VirtualHost>

DNS webmail.123.tld kuckt mit A auf "123.123.123.12"
Das klappt auch. Rufe ich jetz also https://webmail.123.tld auf seh ich auch den webinhalt aus /var/www/webmail/http. Rufe ich https://www.123.tld oder https://w3.123.tld auf. sehe ich die tolle apache-seite.

Was mich jetzt aber verdutzt: Ergänze ich noch:

<VirtualHost www.123.tld:443>
ServerName www-ssl
DocumentRoot /var/www/mainseite/docroot
ServerAlias www.123.tld

<Directory "/var/www/mainseite/docroot">
allow from all
Options +Indexes
</Directory>
</VirtualHost>

Geht nix mehr. Beim Apache Restart gibts kein Error und im error.log is auch nix.
Also sollte mein Lösungsansatz schon falsc hsein, hier mal ei nVersuch zu beschreiben was ich erreichen möchte: Ich hab einen Server, eine IP, ein SSL-"Zertifikat" und eine Domain mit paar Subdomains. Ich hätte gern, dass bei Aufruf von https://www.123.tld auf die Dateien von /var/www/mainseite/docroot zugegriffen wird, bei Aufruf von https://webmail.123.tld auf die Dateien von /var/www/webmail/http und bei jedem anderen aufruf soll man /var/www/apache2-default/index.html sehen... Muss doch eigtl gehen, oder? Danke schonma soweit. Gruß.

EDIT: kurz nach Abschicken hab ichs hingekricht Es muss offenbar überall in jedem VirtualHost nochmal

# SSL (START)
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/bla.crt
SSLCertificateKeyFile /etc/apache2/ssl/blubb.key
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
# SSL (ENDE)

hinzugefügt werden! Eigentlich logisch. _._ Aber reicht eigentlich nur "SSLEngine on" dafür? Danke fürs lesen :D Darf unter "common Fehler" abgespeichert werden :D

Dein dritter VHost hat in folgender Zeile 7 Zeichen zuviel:

Danke fürs aufmerksame lesen, hier hat sich nru der c&p-Teufel niedergelassen gehabt.

Seit wann werden denn Hostnamen in die VirtualHost-Tags geschrieben? :roll:

Wenn es funktioniert, ist es ein dokumentiertes Feature ;)
http://httpd.apache.org/docs/2.2/mod/co ... irtualhost

Ich bin ja schon ruhig. #-o

Ich musste auch erst nachsehen :roll:

Jo Apache is so nett und löst die hostnamen auf :D Wenn nicht, meckerter.
Wenn ich das richtig sehe, "löst" der sogar die IP-Adressen auf, also macht nen lookup, obs die IP auch wirklich wieder zurück zum Apachen führt :D sonst meckert er.
So, Problem is eh gelöst :D