Apache lädt falsches Zertifikat
Hi!
Ich hab mir 2 ssl Zertifikate gebaut ... eines
mit nagios.fh-intern.ac.at als CN und eines
mit otrs.fh-intern.ac.at.
Nu hab ich folgendes in meiner .conf Datei
---------------------------------------------------------------------
NameVirtualHost *:443
Hallo. Alle deine Fragen beantwortet: http://www.rootforum.de/forum/viewtopic.php?p=74392 Um es ganz kurz zu machen: Wenn du nur eine IP hast,kannst du auch nur ein Zertifikat benutzen,es sei den,du benutzt mehrere Ports.Daher sind auch keine indivuellen Zertifikate für Virtual-Hosts möglich;der Grund liegt darin,das die Verbindung verschlüsselt wird,bevor der gewünschte Host-Name gesendet wird. Gruß, Sebastian
* Martin Hochreiter wrote on Fri, Dec 09, 2005 at 13:03 +0100:
NameVirtualHost *:443
(NameVirtualHost geht eh nicht für SSL)
ServerName nagios.fh-intern.ac.at </VirtualHost>
ServerName otrs.fh-intern.ac.at </VirtualHost>
Woran sollten die VirtualHost unterschieden werden können, sind ja beide default, würde so nicht mal gehen, wenn es verschiende IPs gäbe. Dann steht der Hostname ja im Zertifikat. Die Sicherheit soll dafür sorgen, dass der richtige Server verwendet wird, wie kann man dann hier bloss ein "*" nehmen! <VirtualHost nagios.fh-intern.ac.at:443> ServerName nagios.fh-intern.ac.at SSLCertificateFile ... SSLCertificateKeyFile ... </VirtualHost> <VirtualHost meinTollerServer.domain.com:443> ServerName meinTollerServer.domain.com SSLCertificateFile ... SSLCertificateKeyFile ... </VirtualHost> usw. finde ich viel schöner. Natürlich müssen beide verschiedene IPs haben, weil das SSL/TLS nicht HTTP-Spezifisch ist (sondern allgemein für jegliches TCP gehen sollte), damit kein "HTTP Server"-String kennen kann usw, also keine "NameVirtualHosts" unterstützt - und das SSL-Auth und Zertifikatsprüfung /vorher/ macht (vor HTTP, welches dazu HTTPS wird), und hier der Server noch nicht wissen kann, welchen "NameVirtualHost" ein Client (der gerade verbindet) wohl meinen könnte. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.
participants (3)
-
Andreas Kern
-
Martin Hochreiter
-
Steffen Dettmer