PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : apache2: SSL-Certificates pro domain



DirtyDoc
18.11.05, 09:27
Hi,

ich würde gerne jedem meiner Vhosts ein eigenes SSL-Zertifikat verpassen. Ich habe für jede Subdomain ein Zertifikat angelegt und die config sieht folgendermassen aus:


<VirtualHost _default_:443>
...
ServerName localhost:443
SSLEngine on
SSLCertificateFile conf/ssl/server.crt
SSLCertificateKeyFile conf/ssl/server.key
...
</VirtualHost>

<VirtualHost *:443>
...
ServerName sub1.server.lan
SSLEngine on
SSLCertificateFile conf/ssl/sub1.crt
SSLCertificateKeyFile conf/ssl/sub1.key
...
</VirtualHost>

<VirtualHost *:443>
...
ServerName sub2.server.lan
SSLEngine on
SSLCertificateFile conf/ssl/sub2.crt
SSLCertificateKeyFile conf/ssl/sub2.key
...
</VirtualHost>

Ich habe nun das Problem, dass mir - egal welche SSL-Seite ich aufrufen möchte - immer die server.crt ausgespuckt wird... es muss doch irgendwie möglich sein, für die virtualhosts eigene certificates nutzen zu könne, oder? was mache ich falsch?

marce
18.11.05, 10:19
es geht, wenn Du IP-Based VirtHosts verwendest...

http://www.modssl.org/docs/2.8/ssl_faq.html#ToC47

DirtyDoc
18.11.05, 11:07
mist, sowas hatte ich befürchtet.... ich habe nach draussen ja nur eine ip, also kann ich an meine idee nen dicken haken machen =(

danke dir trotzdem für die fixe antwort...

[WCM]Manx
18.11.05, 12:06
Hi!

Schau mal da, selber noch nicht getestet, probier's grad aus.
http://wiki.cacert.org/wiki/VhostTaskForce

Grüße

Manx

Jigsore
18.11.05, 13:11
Mehrere CNs im Zertifikat funktioniert zumindest bei mir nicht. SSL Fehlermeldung ist einfach "Not Supported" beim Aufruf der Domains.

Der einzige Weg der hier problemlos funktioniert ist über Aliase in der httpd.conf.

DirtyDoc
18.11.05, 16:15
ich glaube gelesen zu haben, dass diese multiplen cn's von den clients noch nicht oder nur teilweise unterstützt werden (allen vorran der ie, wenn ich mich nicht täusche, der einfach nur abbricht =))...

[WCM]Manx
18.11.05, 17:52
Hi!

Ich hab's jetzt grad getestet und es funktioniert sowohl mit dem IE als auch mit dem Firefox ohne Probleme.

Selbst generierte CA, selbst generierte und signierte x509 Zertifikate.
Openssl 0.9.8a-4 aus Debian (unstable)
(Versuch's jetzt noch unter "sarge")

Grüße

Manx

[WCM]Manx
19.11.05, 16:38
Hi!

Es funktioniert auch unter Debian "sarge" (openssl-0.9.7e-3sarge1) und es funktioniert sogar mit einer wildcard (asterisk) vor der Domain.
sprich:
...
subjectAltName=critical,DNS:*.domain.tld
...

Weder Firefox noch IE6 meckern deswegen :)

Grüße

Manx

PS: siehe auch http://www.linuxforen.de/forums/showthread.php?t=192188