ssl und nur eine ip
Hallo liste, Ich würde gerne auf ein und der selben ip zwei verschiedene ssl zertifikate für meinen apache 1 installieren. Nur nimmt dieser immer nur eins der beiden. Brauche ich für jedes ssl zertifikat wirklich eine eigene ip oder gibt es da einen trick um dies zu umgehen ?!? mfg sven
Sven Schollmeyer <webmaster@c-lan-ev.net> writes:
Hallo liste,
Ich würde gerne auf ein und der selben ip zwei verschiedene ssl zertifikate für meinen apache 1 installieren. Nur nimmt dieser immer nur eins der beiden. Brauche ich für jedes ssl zertifikat wirklich eine eigene ip oder gibt es da einen trick um dies zu umgehen ?!?
Es macht wenig Sinn, für einen Host zwei Zertifikate vorzuhalten, da im Zertifikat nur Common Name als FQDN ausgelesen wird und, sofern möglich, eine Prüfung der Signatur durch die Certificate Authority erfolgt. Wenn du allerdings neben dem Domain Name noch einen CNAME für deinen Host verwendest, kannst du dies in openssl.conf konfigurieren, indem du einen alternativen Subject Namen vergibt. ,----[ openssl.conf ] | [ usr_cert ] | basicConstraints=CA:FALSE | nsCertType = server | subjectKeyIdentifier=hash | nsComment = "Certificate fuer Nasenbohrer" | authorityKeyIdentifier=keyid,issuer:always | subjectAltName=DNS:anderer.domain.name `---- Es können mehrere, durch Komma getrennte, alternative Namen eingetragen werden. Bitte beachte den Abschnitt [ usr_cert ] -Dieter -- Dieter Klünter | Systemberatung http://www.avci.de GPG Key-ID:8C183C8622115328
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Friday 27 August 2004 16:56, Sven Schollmeyer wrote:
Hallo liste,
Ich würde gerne auf ein und der selben ip zwei verschiedene ssl zertifikate für meinen apache 1 installieren. Nur nimmt dieser immer nur eins der beiden. Brauche ich für jedes ssl zertifikat wirklich eine eigene ip oder gibt es da einen trick um dies zu umgehen ?!?
Nimm evtl. einen anderen Port, das tut. Unterschiedliche SSL Server per NamedVirtualHost geht nicht. Das Problem liegt in folgendem. Beim Aufbau der SSL Verbindung ist das HTTP Protokoll, also auch der vom Browser übermittelte Host Header, noch gar nicht beteiligt. In diesem frühen Stadium der SSL Verbindung werden aber schon die Zertifikate ausgetauscht. Da der Apache den Host Header aber nicht kennt, kann er NUR anhand von IP Adresse und Port nach dem Zertifikat suchen. Steht dann die SSL Verbindung, wird der Host Header übermittelt, anhand dessen der Apache den NamedVirtualHost findet. Ich hoffe, ich habe es verständlich ausgedrückt. Torsten -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBL1jrwicyCTir8T4RAj0KAJ0T28BP0/3JgLLxYGDhLKkVFHofMwCgkInj VoPGaueIEJ+lDnDFRIliL8A= =UQWp -----END PGP SIGNATURE-----
participants (3)
-
Dieter Kluenter -
Sven Schollmeyer -
Torsten Foertsch