PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mehrere Zertifikate



leo_80
03.04.10, 14:11
Hallo irgenwo habe ich gelesen das der Apache für eine IP-Adresse und Port nur SSL Zertifikat benutzen kann.

Ich habe zwei root vServer bei SERVER4YOU.
Damit bei hoher Emaillast nicht der Webserver darunter leiden muss.

nun ist meine Frage ob ich nicht den einen als Proxyserver für ssl konfigurieren kann so das der dann auf den anderen auf verschiedene Ports zugreift.

MfG Philipp Nöbauer

minimike
03.04.10, 22:41
Schau dir mal MOD_GNUTLS und MOD_NSS an

MOD_GNUTLS
hohe Softwareanforderungen. Ich musste auf RHEL extra eine aktuelle Version von GNUTLS kompilieren. Leicht im Apache zu implemetieren

MOD_NSS
verwirrende Dokumentation. Kann man ohne großen Installationsaufwand installieren. Die Abhängigkeiten hat fast jedes Linuxsystem installiert

Ich benutze derzeit MOD_GNUTLS mit knapp 40 Vhosts im Apache auf ein und der selben IP

derRichard
03.04.10, 22:50
wobei man beachten muss, dass server name indication (mehrere ssl-vhosts auf einer ip) nur bei aktuellen browsern geht.
http://en.wikipedia.org/wiki/Server_Name_Indication#Browsers

leider sind noch sehr viele veraltete browser in verwendung :(

//richard

minimike
04.04.10, 00:59
Also es läuft mit dem ie6 einwandfrei. Client ist Windows 2000

derRichard
04.04.10, 01:08
das wundert mich jetzt aber :D

//richard

minimike
04.04.10, 02:52
das wundert mich jetzt aber :D

//richard
teste doch selber ;)
https://www.webterrorist.net
Du musst vorher noch die Zertifikate (Class1 Class3) von www.cacerg.org installieren

bessere Zertifikate kommen noch die Tage
SSL läuft einwandfrei mit Windows 2000 und IE6. Die Seite allerdings nicht keine Angst da ist keine Bombe explodiert :ugly:

derRichard
04.04.10, 03:04
hi!

ich hab leider(;)) grad kein win2k mit ie6 zu hand. aber unter xp mit dem ie7 schlägt der sni test fehl:
https://foo.sni.velox.ch/
https://bar.sni.velox.ch/

https://www.webterrorist.net geht komischerweise.

//richard

minimike
04.04.10, 03:36
hi!

ich hab leider(;)) grad kein win2k mit ie6 zu hand. aber unter xp mit dem ie7 schlägt der sni test fehl:
https://foo.sni.velox.ch/
https://bar.sni.velox.ch/

https://www.webterrorist.net geht komischerweise.

//richard
Ich verwende auch kein modernes MOD_SSL sondern MOD_GNUTLS
Langfristig überlege ich mir aber auf MOD_NSS umzusteigen. Da steckt Redhat und IBM mittlerweile hinter. Redhat baut das in den IPA Server mit ein.
Was mich an MOD_GNUTLS nervt ist das ich nun stets darauf bedacht sein muss Updates schnell selber zu realisieren weil ich neben dem dem Apache Modul auch GNUTLS selber kompiliert habe.