für verschiedene vhosts verschiedene ssl-zertifikate ?

[coltseavers]

Servus zusammen!

Ich habe ein Debian-Lenny-System mit nem Apache 2.2.9.
mod_ssl ist aktiviert.

ein virtueller host benutzt bereits ein (domainbeschränktes) ssl-zertifikat.

jetzt möchte ich noch ein webmail-interface benutzen, welches über ein anderes zertifikat läuft.
mein apache-buch sagt, dass das eigentlich nicht geht - aber mit nem bestimmten patch/add-on aber doch - aber wie genau ist nicht erklärt.

wer kann mir sagen wie das genau geht und welche voraussetzungen müssen dafür erfüllt sein?

Vielen Dank vorab!

[daemotron]

Das geht, wenn Du Apache an mehrere IP-Adressen bindest. Jeweils im ersten VHost, der an eine IP gebunden ist und der SSL aktiviert, kannst Du ein Zertifikat angeben.

Wenn Du nicht genügend IPs hast, kannst Du sonst darauf ausweichen, in einem Zertifikat mehrere SubjectAltName = DNS:... einzubauen. Damit gilt das Zertifikat dann für verschiedene Hostnamen.

[EdRoxter]

Wobei dazu zu sagen wäre, dass das AFAIK bei den ganzen "kleinen" Produkten der größeren Zertifizierungsstellen ausgeschlossen ist. Die lassen einen CommonName zu und sonst nix...

[daemotron]

Ja, allerdings gibt es ja auch die Möglichkeit, entweder selbst signierte Zertifikate oder eine freie CA wie CAcert einzusetzen.

[nyxus]

Wobei dazu zu sagen wäre, dass das AFAIK bei den ganzen "kleinen" Produkten der größeren Zertifizierungsstellen ausgeschlossen ist. Die lassen einen CommonName zu und sonst nix...

startssl.com ist einer der Anbieter, bei denen man nicht ganz so arm wird wie bei den ganz großen.

[coltseavers]

Vielen Dank für die Hinweise soweit.

Inzwischen habe ich nun wieder Zugang zu meinem Buch:
Es geht auch anders, undzwar mittels SNI (Server Name Indication).

Mehrere SSL-Zertifikate über 1 IP und über namensbasiertes virtualhosting ist damit möglich.

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Ich wurschtel mich mal da durch und geb bescheid wenns läuft.

[nyxus]

Inzwischen habe ich nun wieder Zugang zu meinem Buch:
Es geht auch anders, undzwar mittels SNI (Server Name Indication).

IMO sperrst Du damit die ganzen XP/W2k-User aus. Aber die kann man ja auf eine Default-Seite leiten, auf der sie erfahren, das sie auf was neueres updaten sollen.

[coltseavers]

IMO sperrst Du damit die ganzen XP/W2k-User aus.

Nicht wirklich, da der Firefox und Opera durchaus unter WinXP/2000 laufen.

Aber zugegeben - IE-User unter XP werden nicht gerade wenig sein.
Für beispielsweise einen Onlineshop kommt diese Lösung somit (derzeit) nicht in Frage.

[EdRoxter]

Ich hätte da auch noch einen Anbieter, der Thawte und Comodo teils bis 50% billiger verkauft als diese selbst - ich weiß aber nicht, ob ich ihn hier nennen darf, deshalb lass ich's erstmal..

[Joe User]

Du darfst diesen Anbieter nennen, wurden ja genug alternative Anbieter genannt.

[jan10001]

Ich verwende für mehrere verschiedene Domains ein Multiple Domains SSL Zertifikat (UCC) von GoDaddy. Wird problemlos von allen Browsern akzeptiert und ist bezahlbar.

[EdRoxter]

http://www.psw.net ist derzeit der Zertifikatsverkäufer meiner Wahl - nicht zuletzt auch, und das kann ich aus einer zweistelligen Zahl von Einkäufen dort beurteilen, weil die Abwicklung und der Support unkompliziert und in m.E. vorbildlicher Geschwindigkeit stattfinden.

[coltseavers]

muss man denn bei einem multiple domains ssl zertifikat bei erstellung des zertifikates bereits alle enthaltenen domains ausreizen/festlegen, oder kann man auch erstmal z.B. 3 von 5 nehmen und die restlichen 2 als Reservere lassen und sie bei bedarf "nachregistrieren"?

[jan10001]

Bei GoDaddy kann man kostenfrei nachregistrieren.