PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wildcartcerts auf einer IP mit MOD_NSS/MOD_GNUTLS



minimike
18.05.10, 04:38
Hi

Wenn man SNI meidet (nicht kompatiebel mit allen Browsern) aber dennoch mehrere Vhosts mit SSL auf einer IP haben möchte sind dafür MOD_GNUTLS oder MOD_NSS zur Auswahl verfügbar.
Ich hatte bislang 40 Vhosts mit einem SSL Zertifikat für alle Domains inclusive Wildcards auf einer IP betrieben. Das lief mit MOD_GNUTLS bislang einwandfrei.
Nun kam der erste Kunde mit einem eigenen Zertifikat auch für alle seine Domains inclusive Wildcards. Also legte ich Vhosts an und trug nun das Zertifikat des Kunden ein. Ergebniss war , das das eine Zertifikat vom Kunden überlagert wurde von dem anderen Zertifikat von meinen anderen Vhosts sofern diese auf der selben IP liefen. Und das mit MOD_GNUTLS sowie auch mit MOD_NSS. Ich habe eben noch auf MOD_NSS umgestellt weil ich hoffte das es damit geht.
MOD_NSS (läuft nicht)

<VirtualHost 1.2.3.4:443>
NSSEngine on
NSSCipherSuite +rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha
NSSProtocol SSLv3,TLSv1
NSSNickname customer2
DocumentRoot /var/www/users/kundename2/htdocs/projekt
ServerName tld.de
ServerAlias www.tld.de
ServerAlias tld.com
ServerAlias www.tld.com
ServerAlias tld.com
ServerAlias www.tld.com
ServerSignature On
ErrorLog /var/www/users/kundenname2/htlogs/projekt_error.log
CustomLog /var/www/users/kundenname2/htlogs/projekt_access.log combined
<Directory "/var/www/users/kundenname2/htdocs/projekt">
Options -Indexes
Order allow,deny
Allow from all
AllowOverride none
DirectoryIndex index.html
RewriteEngine on
</Directory>
</VirtualHost>

<VirtualHost 1.2.3.4:443>
NSSEngine on
NSSCipherSuite +rsa_rc4_128_md5,+rsa_rc4_128_sha,+rsa_3des_sha,-rsa_des_sha,-rsa_rc4_40_md5,-rsa_rc2_40_md5,-rsa_null_md5,-rsa_null_sha,+fips_3des_sha,-fips_des_sha,-fortezza,-fortezza_rc4_128_sha,-fortezza_null,-rsa_des_56_sha,-rsa_rc4_56_sha,+rsa_aes_128_sha,+rsa_aes_256_sha
NSSProtocol SSLv3,TLSv1
NSSNickname customer1
DocumentRoot /var/www/users/kundename1/htdocs/projekt
ServerName tld.me
ServerAlias www.tld.me
ErrorLog /var/www/users/kundenname1/htlogs/projekt_error.log
CustomLog /var/www/users/kundenname1/htlogs/projekt_access.log combined
<Directory "/var/www/users/kundenname1/htdocs/projekt">
Options -Indexes
Order allow,deny
Allow from all
AllowOverride none
DirectoryIndex index.html
RewriteEngine on
</Directory>
</VirtualHost>
MOD_GNUTLS (läuft nicht)

<VirtualHost 1.2.3.4:443>
GnuTLSEnable On
GnuTLSPriorities NORMAL
GnuTLSCertificateFile /etc/httpd/ssl.d/ssl-2.crt.pem
GnuTLSKeyFile /etc/httpd/ssl.d/ssl-2.key.pem
DocumentRoot /var/www/users/kundename2/htdocs/projekt
ServerName tld.de
ServerAlias www.tld.de
ServerAlias tld.com
ServerAlias www.tld.com
ServerAlias tld.com
ServerAlias www.tld.com
ServerSignature On
ErrorLog /var/www/users/kundenname2/htlogs/projekt_error.log
CustomLog /var/www/users/kundenname2/htlogs/projekt_access.log combined
<Directory "/var/www/users/kundenname2/htdocs/projekt">
Options -Indexes
Order allow,deny
Allow from all
AllowOverride none
DirectoryIndex index.html
RewriteEngine on
</Directory>
</VirtualHost>

<VirtualHost 1.2.3.4:443>
GnuTLSEnable On
GnuTLSPriorities NORMAL
GnuTLSCertificateFile /etc/httpd/ssl.d/ssl-1.crt.pem
GnuTLSKeyFile /etc/httpd/ssl.d/ssl-1.key.pem
DocumentRoot /var/www/users/kundename1/htdocs/projekt
ServerName tld.me
ServerAlias www.tld.me
ErrorLog /var/www/users/kundenname1/htlogs/projekt_error.log
CustomLog /var/www/users/kundenname1/htlogs/projekt_access.log combined
<Directory "/var/www/users/kundenname1/htdocs/projekt">
Options -Indexes
Order allow,deny
Allow from all
AllowOverride none
DirectoryIndex index.html
RewriteEngine on
</Directory>
</VirtualHost>

Erst wenn ich die beiden Zertifikate auf unterschiedlischen IP's laufen lasse, je 40 SSL Vhosts mit IP 1.2.3.5 mit meinem Zertifikat (Wildcards) auf der IP, und 6 SSL Vhosts mit IP 1.2.3.4 und Kundenzertifikat (Wildcards) geht das Einwandfrei. Ich habe eben alle 46 URL's mit IE6/7/8 sowie Firefox aufgerufen ohne einen Fehler Betreff SSL zu erhalten. Trotzdem irgendwie stört mich das. Irgendwelche Ideen das denoch alles auf einer IP zu betreiben?

lg Darko