Hallo!

Habe auf meinen Debian Sarge Apache als Webserverlaufen. Mit mod_ssl hab ich es auch hinbekommen für verschiedene Sub-Domains eine SSl-Verbindung aufzubauen.

Mein Problem: Browser meckert jedes Mal, dass das Zertifikat nicht zur Sub-Domain passt. Liegt daran, dass ich nur ein Zertifikat habe, dass auf www.... ausgestellt ist.

Meine Frage: Ist es möglich verschiedene Zertifikate zu benutzen? Habe in einem Tutorial gelesen, dass man für jedes Zertifikat eine eigene IP braucht.

Hinweis: Die Zertifikate dienen nur für "private" Verbindungen. Sollen also nicht bei Versign, ... gekauft werden.

Und noch eine Frage: Sind eigene Zertifikate genauso sicher, wie bezahlte? Denke ja, weil es extrem unlogisch wäre. Wollte aber sicher gehen. :)

Und noch eine Frage: Sind eigene Zertifikate genauso sicher, wie bezahlte? Denke ja, weil es extrem unlogisch wäre. Wollte aber sicher gehen. :) Technisch gesehen auf jeden Fall. Der Vorteil eines Ausstellers wie Verisign ist es, daß er Vertrauen schafft, weil die Zertifikate geprüft und offiziell ausgestellt wurden.

Aber sieh' dir doch mal cacert.org an.

Du brauchst für jedes SSL Zertifikat eine eigene IP, Namebased Vhosts geht da nicht

Brauche ich auch für jede Sub-Domain ein eigenes Zertifikat, oder kann ich da ein Zertifikat für mehrere Sub-Domains verwenden?

hallo!

pro domain ein zertifikat.
www.foo.com braucht eins und bar.foo.com braucht auch sein eigenes...
natürlich kannst du für alle das selber verwenden da wird aber jeder browser alarm schlagen...

hth,
//richard

D.h. dann aber auch, dass ich für jede Subdomain eine eigene IP, brauche wenn ich SSL möchte, oder wie?

hallo!

nein, eine eigene ip muss es nicht sein.

//richard

Alles klar! Vielen Dank!

Habe jetzt versucht meinen Apache mit verschiedenen Zertifikaten für die verschiedenen Sub-Domains zum Laufen zu bekommen. Leider funktioniert das nicht ganz. Meine Datei in /etc/apache/conf.d/ hat folgenden Inhalt:


# SSL
<IfModule mod_ssl.c>
# PhpMyAdmin
<VirtualHost XX.XXX.X.XXX:443>
ServerAdmin mail@domain.de
DocumentRoot /var/www/phpmyadmin/
ServerName phpmyadmin.domain.de
ErrorLog /home/andreas/logs/error.log
CustomLog /home/andreas/logs/access.log common

#open_basedir-Limit auf DocumentRoot, die PHP-Bibliotheken
# und ggf. das PHP-tmp-Verzeichnis!
php_admin_value open_basedir /etc/phpmyadmin/:/var/www/phpmyadmin/:usr/share/phpmyadmin/libraries/
# Weitere Absicherung durch eigene Pfade pro Domain
php_admin_value upload_tmp_dir /var/www/phpmyadmin/
php_admin_value session.save_path /var/www/phpmyadmin/

SSLEngine on
SSLCertificateFile /etc/apache/ssl/phpmyadmin.domain.de.crt
SSLCertificateKeyFile /etc/apache/ssl/phpmyadmin.domain.de.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</VirtualHost>

# Webmail
<VirtualHost XX.XXX.X.XXX:443>
ServerAdmin mail@domain.de
DocumentRoot /var/www/roundcubemail/
ServerName webmail.domain.de
ErrorLog /home/andreas/logs/error.log
CustomLog /home/andreas/logs/access.log common

SSLEngine on
SSLCertificateFile /etc/apache/ssl/webmail.domain.de.crt
SSLCertificateKeyFile /etc/apache/ssl/webmail.domain.de.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
</VirtualHost>

# Webdav
<VirtualHost XX.XXX.X.XXX:443>
ServerAdmin mail@domain.de
DocumentRoot /home/andreas/webdav
ServerName webdav.domain.de
ErrorLog /home/andreas/logs/error.log
CustomLog /home/andreas/logs/access.log common
SSLEngine on
SSLCertificateFile /etc/apache/ssl/webdav.domain.de.crt
SSLCertificateKeyFile /etc/apache/ssl/webdav.domain.de.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
Alias /andreas /home/andreas/webdav
<Directory /home/andreas/webdav>
DAV on
SSLRequireSSL
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
AuthUserFile /home/andreas/webdav/.htpasswd
AuthType Basic
AuthName "domain"
require valid-user
</Directory>
</VirtualHost>
</IfModule>


Mein Problem ist, dass immer nur das Zertifikat vom ersten vHost-Eintrag benutzt wird. D.h. es wird immer das phpmyadmin.domain.de benutzt. Weiß jemand warum?

Wie hier schon öfters geschrieben: Namebased Wirt. Hosts gehen mit unterschiedlichen Zertifikaten nicht. Die technischen Details dazu: Siehe Apache-Doku.

Man kann sich aber sog. Wild-Card-Zertifikate für Domains erstellen *.domain.de geht durchaus, diese werden aber von keiner offiziellen Stelle ausgestellt - was bei Dir aber ja egal ist. Näheres dazu siehe openssl-Doku...

Alles klar! Jetzt funktioniert es! Vielen Dank an alle Helfer.