Moin,
On Tue, 01 Nov 2005 13:32:16 +0100
"Dr. Thorsten Brandau"
Sehr schöne Anleitung für Apache. Jetzt die Preisfrage:
1. Wenn ich eine interne und eine externe Adresse habe (also z.B. als DynDNS und als interner Server) sind die angesprochenen Adressen ja unterschiedlich, d.h. es kommt eine Fehlermeldung, obwohl der Rechner derselbe ist, halt nur unter einem anderen Namen. Wie kann ich das Zertifikat für zwei Namen gültig machen bzw. Apache2 zwei Zertifikate je nach Referer aufdrücken?
Du kannst weitere Subjects in den erweiterten Inhalt des Zertifikats aufnehmen. Das müsste aber der Browser unterstützen, und ich habe da zuletzt schlechte Erfahrungen gemacht. Den Apache verschiedene Zertifikate nutzen zu lassen ist quasi unmöglich, so wie du das beschreibst. Schließlich wird erstmal die SSL-Verbindung aufgebaut und dann erst schickt der Client (aber nur wenn er will) einen Referer. Wenn du das IP-Adresse unterscheiden kannst, setz' doch einfach einen weiteren IP-based virtual host auf (statt auf 0.0.0.0 zu horchen) und benutz' dann dasselbe DocumentRoot (und ein anderes Zertifikat). Vielleicht kannst du auch das DNS-Resolving deiner "internen" Clients so umbiegen, dass die den "externen" Hostnamen benutzen können? Das Subject des Zertifikats gibt ja nur den Hostnamen an, so weit ich weiß, und nicht die IP.
2. Wie mache ich obiges ebenso mit Imapd? Also für IMAPs und POP3s? Ich habe IMAPs und POP3s unter SuSE 8.2 zum laufen gebracht, aber auch dort kann ich nicht für denselben Rechner verschiedene Zertifikate einbringen (obwohl die Option in der imapd.conf angegeben ist...). Und der 8.2er soll demnächst abgeschaltet werden.
Zweiter IMAPd auf der entsprechenden IP horchen lassen (und wieder von der Benutzung von 0.0.0.0 als Listening Socket absehen)? Gruß, -hwh