Hallo, ich brauche Hilfe beim Erzeugen von selbsterstellten SSL-Zertifikaten. Ich hoste verschiedene Domains mit einigen Subdomains auf einem Apache2 mit nur einer IP-Adresse. Dabei weise ich jeder Subdomain einen eigenen VHost zu. Das sind durch die Bank keine geschäftlichen Domains, so dass es mir bei SSL nicht auf die Identifikation, sondern nur auf die Verschlüsselung ankommt (Mail, Subversion, Phpmyadmin,...). Da ich nur eine IP-Adresse habe, kann ich auch nur ein SSL-Zertifikat benutzen (http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts2). Das Work-around, die verschiedenen SSL-VHosts auf verschiedenen Ports laufen zu lassen, möchte ich vermeiden - oft genug erlauben strikte Firmen-Firewalls nur die Ports 80 und 443 (und nat. Mail etc.). Damit scheidet auch die Verwendung eines Wildcard-Zertifikates aus, mit dem zwar www1.domainA.de und www2.domainA.de möglich wären, nicht aber www1.domainA.de und www3.domainB.de Ausgiebiges Googeln brachte mich letztlich auf zwei verschiedene Lösungsmöglichkeiten (http://wiki.cacert.org/wiki/VhostTaskForce): 1) Die Verwendung mehrerer CommonNames in der openssl.conf mit jeweils einer Wildcard-Domain: 0.commonName = Common Name (eg, your website's domain name) 0.commonName_default = *.domainA.de 1.commonName = Common Name (eg, your website's domain name) 1.commonName_default = *.domainB.de 2) Verwendung des Schlüssels subjectAltName in der openssl.cnf: subjectAltName = DNS:*.domainA.de, DNS:*.domainB.de Lösung 1 funktioniert nur mit einem Teil der Browser - Konqueror und IE spielen mit, die Netscape-Nachfahren nicht. Lösung 2 bekomme ich nicht vernünftig umgesetzt. Laut CAcert-Wiki sollte folgendes herauskommen: Subject: C=DE, ST=NS, L=Ort, CN=www1.domainA.de ... Requested Extensions: X509v3 Subject Alternative Name: DNS:www1.domainA.de DNS:*.domainB.de Ich bekomme aber immer nur die erste Zeile - oder bekomme bereits Fehler beim Erstellen der Schlüssel, je nachdem, wie ich die subjectAltName-Anweisungen in der openssl.cnf unterzubringen versuche :-( Könnte bitte jemand eine openssl.cnf (Version 0.9.7e-3) posten, mit der es ihr/ihm gelungen ist, ein solches Zertifikat zu erzeugen? Schön wäre es auch, die entsprechenden openssl-Befehle gleich mit anzugeben. Vielleicht liegt der Hund ja auch da begraben (?) Ich benutze bis jetzt die folgende Befehlskette zum Ereugen: openssl req -config openssl.cnf -new -out dedi.ca openssl rsa -in privkey.pem -out shared.key rm .rnd openssl x509 -in dedi.ca -out shared.pem.cert -req -signkey shared.key -days 1000 openssl x509 -in shared.pem.cert -out shared.der.cert -outform DER Besten Dank im Voraus, Felix