Ich muss einen Produktionsserver auf SSL umstellen und habe folgendes Problem mit einem SSL-Testzertifikat meines Providers:

- die subdomain www.portal.meteoviva.de ist bei unserem Webspace Provider eingerichtet als HTTPS forward auf die feste IP Adresse 87.230.83.99 unseres Webservers

- der unter dieser IP Adresse laufende Server hat im /etc/hosts die Einträge
87.230.83.99 ds87-230-83-99 www.portal.meteoviva.de portal.meteoviva.de

- das SSL Zertifikat ist auf www.portal.meteoviva.de ausgestellt

- im httpd.conf finden sich folgende Einträge
ServerName https://www.portal.meteoviva.de:443
UseCanonicalName On

- das error log vom apache bringt keine Fehlermeldung zu unpassendem CommonName (CN)

- wenn ich im Browser nun die Adresse www.portal.meteoviva.de aufrufe, bekomme ich eine Warnung, die in Firefox so aussieht:



87.230.83.99 verwendet ein ungültiges Sicherheitszertifikat
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Das Zertifikat gilt nur für folgende Namen:
www.portal.meteoviva.de , portal.meteoviva.de

(Fehlercode: sec_error_unknown_issuer)



Kann mir jemand weiterhelfen?

Merci vielmals für jede Hilfe
Boxerfahrer

Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
da steht's doch.

Von welcher Cert-Stelle ist das Ding denn?

Hier sind die Details aus dem Firefox:



(CN) EssentialSSL CA
(O) COMODO CA Limited
(OU) kein Teil des Zertifikats


Zwei weitere Dinge die mir auffallen:

- wenn ich www.portal.meteoviva.de im Browser eingebe, dann erscheint statt dieses Namens die IP Adresse im Adressfeld des Browsers. Das forwarding von www.portal.meteoviva.de hatte ich ja beim Provider der subdomain eingestellt

- im Firefox wird beim Versuch das Zertifikat zu laden, um es als Ausnahme hinzuzufuegen, folgendes angezeigt:



Das Zertifikat gehoert einer anderen Webseite, was auf einen Identitiaetsdiebstahl hinweisen koennte


Ich denke es geht um die Tatsache, dass das Zertifikat auf www.portal.meteoviva.de ausgestellt ist und der Server sich mit seiner IP Adresse zurueckmeldet. Die Einstellungen in /etc/hosts und in httpd.conf stehen oben.

Gruss Boxerfahrer

die Einstellungen auf dem Server, was die hosts-Datei angeht sind dem Client herzlich egal. Der sieht nur: IP -> https -> Zert. "falsch".

Die Weiterleitung muss also auf einen Domain-Eintrag gehen, nicht auf die IP.

Vielen Dank fuer die Info. Genau das hatte ich den MA meines Providers gefragt, und der meinte IP Adresse waere prima solange es fuer die subdomain eine "Heimat" und DNS Aufloesung geben wuerde.

Sieht also so aus als muesste ich fuer den Server eine eigene Domain beantragen, oder?

Gruss Boxerfahrer

Kommt derauf an - kannst Du die Subdomain nicht auf die richtige IP leiten?

Ansonsten könnte man auch mod_proxy nutzen...

mfg
cane

Naja, ich bin Laie, was das Thema angeht. Wie am Anfang des Posts steht, habe ich die Subdomain, die bei unserem Webspace Provider verwaltet wird, auf die korrekte IP forwarded. Aber wie berichtet, das läuft eben nicht, und ich komme mangels Kenntnissen uber Zertifikate nicht weiter. Ich glaube dass die IP Adresse, die statt der subdomain im Adressfeld des Browsers erscheint, entscheidend ist, aber wie gesagt, ich habe keine Ahnung von dieser Materie

Gruss Boxerfahrer

Kurz gesagt: Zertifikat auf IP ist nicht. Du brauchst einen korrekten DNS-Eintrag.

entweder lässt Du also die Domain auf die neue IP umtragen oder setzt auf dem alten Server, auf den der Eintag geht einen Proxy ein, der die Inhalte von der neuen IP abholt.

kapiert - ich werde eine eigene Domain beantragen.
Viele Dank fuer die Hilfe!

Gruss Boxerfahrer