PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache2 mit SSL - Hostname



mullfreak
11.02.10, 13:44
Hallo,
seit ein paar Tagen haben wir intern einen Server mit Apache2 und SSL am Laufen. System ist ein Opensuse 11.2.
Nun wollen wir den Server nach außen zulassen und mit einem Zertifikat von GlobalSign bestücken.
Jedoch ist mir eine Sache nicht ganz klar:
Es heißt der CommonName muss identisch mit dem Hostnamen sein!
Mein Hostname ist jetzt als Beispiel xyz und als Domäne hab ich angegeben: domäne.de.
Ist jetzt der Hostname xyz.domäne.de oder nur xyz?

Die Seite soll später so erreichbar sein: www.xyz.domäne.de. Wie lautet der korrekte Hostname?

Gruß
Mull

derRichard
11.02.10, 14:20
wenn du https://www.foo.com anbieten willst, muss in den commonname www.foo.com rein.

hth,
//richard

mullfreak
11.02.10, 14:29
Hi,
das ist klar. Nur heißt es in sämtlichen Tutorials, der CommonName muss mit dem Servernamen übereinstimmen. Wie lautet dann der Servername bei www.foo.com?
Gruß
Mull

derRichard
11.02.10, 14:31
wenn du im apache einen vhost hast, der auf www.foo.com reagiert (also servername www.foo.com), dann muss im cn vom ssl-zertifikat www.foo.com rein.
das ist die ganze hexerei. :)

//richard

mullfreak
11.02.10, 14:36
Ok. Das ist die Aussage! Dann passt alles. Bin beim SSL von vertrauenswürdigen Stammzertifizierungsstellen vorsichtig. Hab ja nur einen Schuss und ein gescheites SSL-Cert ist nicht billig.

derRichard
11.02.10, 14:39
bei http://www.startssl.com/ bekommt man sowas kostenlos :)

//richard

mullfreak
11.02.10, 14:58
Ich weiß, aber auch schlecht zum testen mit dem Produktivnamen! Wenn einmal das Zertifikat angefordert wurde und der Name registriert ist, man aber auf dem Server was verkackt, kann das Zertifikat nicht mehr gelöscht werden. Erst nach Ablauf der Frist.

Ich könnte mir jetzt einen Test-Host aufsetzen und die Registrierung und Konfiguration mit Startcom testen!
Hab da einfach zu wenig Erfahrung mit "richtigem" SSL. Die Konfig über openssl ist ja kinderleicht.
Probleme gibts immer damit, wie die Zertifikate benannt werden müssen und wo die später eingeordnet werden.
Brauch ich ein ChainCertificate usw.???