für verschiedene vhosts verschiedene ssl-zertifikate ?

Apache, Lighttpd, nginx, Cherokee
User avatar
coltseavers
Posts: 187
Joined: 2009-11-04 00:43
Location: NRW

für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by coltseavers » 2010-09-16 20:55

Servus zusammen!

Ich habe ein Debian-Lenny-System mit nem Apache 2.2.9.
mod_ssl ist aktiviert.

ein virtueller host benutzt bereits ein (domainbeschränktes) ssl-zertifikat.

jetzt möchte ich noch ein webmail-interface benutzen, welches über ein anderes zertifikat läuft.
mein apache-buch sagt, dass das eigentlich nicht geht - aber mit nem bestimmten patch/add-on aber doch - aber wie genau ist nicht erklärt.

wer kann mir sagen wie das genau geht und welche voraussetzungen müssen dafür erfüllt sein?

Vielen Dank vorab!

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by daemotron » 2010-09-16 21:51

Das geht, wenn Du Apache an mehrere IP-Adressen bindest. Jeweils im ersten VHost, der an eine IP gebunden ist und der SSL aktiviert, kannst Du ein Zertifikat angeben.

Wenn Du nicht genügend IPs hast, kannst Du sonst darauf ausweichen, in einem Zertifikat mehrere SubjectAltName = DNS:... einzubauen. Damit gilt das Zertifikat dann für verschiedene Hostnamen.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by EdRoxter » 2010-09-20 10:59

Wobei dazu zu sagen wäre, dass das AFAIK bei den ganzen "kleinen" Produkten der größeren Zertifizierungsstellen ausgeschlossen ist. Die lassen einen CommonName zu und sonst nix...

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by daemotron » 2010-09-20 17:37

Ja, allerdings gibt es ja auch die Möglichkeit, entweder selbst signierte Zertifikate oder eine freie CA wie CAcert einzusetzen.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by nyxus » 2010-09-20 18:32

EdRoxter wrote:Wobei dazu zu sagen wäre, dass das AFAIK bei den ganzen "kleinen" Produkten der größeren Zertifizierungsstellen ausgeschlossen ist. Die lassen einen CommonName zu und sonst nix...


startssl.com ist einer der Anbieter, bei denen man nicht ganz so arm wird wie bei den ganz großen.

User avatar
coltseavers
Posts: 187
Joined: 2009-11-04 00:43
Location: NRW

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by coltseavers » 2010-09-21 01:04

Vielen Dank für die Hinweise soweit.

Inzwischen habe ich nun wieder Zugang zu meinem Buch:
Es geht auch anders, undzwar mittels SNI (Server Name Indication).

Mehrere SSL-Zertifikate über 1 IP und über namensbasiertes virtualhosting ist damit möglich.

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Ich wurschtel mich mal da durch und geb bescheid wenns läuft.

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by nyxus » 2010-09-21 09:48

coltseavers wrote:Inzwischen habe ich nun wieder Zugang zu meinem Buch:
Es geht auch anders, undzwar mittels SNI (Server Name Indication).


IMO sperrst Du damit die ganzen XP/W2k-User aus. Aber die kann man ja auf eine Default-Seite leiten, auf der sie erfahren, das sie auf was neueres updaten sollen.

User avatar
coltseavers
Posts: 187
Joined: 2009-11-04 00:43
Location: NRW

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by coltseavers » 2010-09-21 12:40

IMO sperrst Du damit die ganzen XP/W2k-User aus.


Nicht wirklich, da der Firefox und Opera durchaus unter WinXP/2000 laufen.

Aber zugegeben - IE-User unter XP werden nicht gerade wenig sein.
Für beispielsweise einen Onlineshop kommt diese Lösung somit (derzeit) nicht in Frage.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by EdRoxter » 2010-09-21 14:31

Ich hätte da auch noch einen Anbieter, der Thawte und Comodo teils bis 50% billiger verkauft als diese selbst - ich weiß aber nicht, ob ich ihn hier nennen darf, deshalb lass ich's erstmal.. ;)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by Joe User » 2010-09-21 15:55

Du darfst diesen Anbieter nennen, wurden ja genug alternative Anbieter genannt.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

jan10001
Anbieter
Posts: 728
Joined: 2004-01-02 12:17

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by jan10001 » 2010-09-21 15:59

Ich verwende für mehrere verschiedene Domains ein Multiple Domains SSL Zertifikat (UCC) von GoDaddy. Wird problemlos von allen Browsern akzeptiert und ist bezahlbar.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by EdRoxter » 2010-09-21 19:47

http://www.psw.net ist derzeit der Zertifikatsverkäufer meiner Wahl - nicht zuletzt auch, und das kann ich aus einer zweistelligen Zahl von Einkäufen dort beurteilen, weil die Abwicklung und der Support unkompliziert und in m.E. vorbildlicher Geschwindigkeit stattfinden.
Last edited by EdRoxter on 2010-09-21 19:49, edited 2 times in total.

User avatar
coltseavers
Posts: 187
Joined: 2009-11-04 00:43
Location: NRW

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by coltseavers » 2010-09-29 15:07

muss man denn bei einem multiple domains ssl zertifikat bei erstellung des zertifikates bereits alle enthaltenen domains ausreizen/festlegen, oder kann man auch erstmal z.B. 3 von 5 nehmen und die restlichen 2 als Reservere lassen und sie bei bedarf "nachregistrieren"?

jan10001
Anbieter
Posts: 728
Joined: 2004-01-02 12:17

Re: für verschiedene vhosts verschiedene ssl-zertifikate ?

Post by jan10001 » 2010-09-29 15:27

Bei GoDaddy kann man kostenfrei nachregistrieren.