PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache mehrere SSL-Certs und IPs



yops
09.06.10, 17:00
Boah...ich bekomme die Krise...

Ich muss gerade einen Apachen umkonfigurieren und bekomme es nicht auf die Reihe...

Mein Vorgehen:
Auf meinem Server laufen 10 Domains, 2 davon sollen jetzt per SSL abgesichert werden. Da pro SSL-Zertifikat nur eine IP benutzt werden kann, mußte ich dem bestehenden Server 2 weitere IPs hinzufügen (Hintergrund: Die 80er http-Requests sollen an eine IP gehen und für die 2 SSL-Domains verwende ich jeweils eine eigene IP). Also IPs wie folgt hinzugefügt:
ifconfig eth0:0 xxx.xxx.xxx.12
ifconfig eth0:1 xxx.xxx.xxx.13

Die ports.conf wie folgt angepaßt:

listen xxx.xxx.xxx.11:80
listen xxx.xxx.xxx.12:443
listen xxx.xxx.xxx.13:443

Dann habe ich für den Non-SSL-Kram eine vhost_80.conf und für die SSL-Domains eine vhosts_443.conf erstellt, die ich in der apache.conf mit
Include /etc/apache2/vhosts_443.conf
Include /etc/apache2/vhosts_80.conf
inkludiere

Die vhost_80.conf sieht wie folgt aus:

NameVirtualHost 80.237.217.211:80
##############
<VirtualHost xxx.xxx.xxx.11:80>
ServerName domain1.de
ServerAlias *.domain1.de
...
</VirtualHost>
##############
<VirtualHost xxx.xxx.xxx.11:80>
ServerName domain2.de
ServerAlias *.domain2.de
...
</VirtualHost>
##############
<VirtualHost xxx.xxx.xxx.11:80>
ServerName domain3.de
ServerAlias *.domain3.de
...
</VirtualHost>
##############
<VirtualHost xxx.xxx.xxx.11:80>
ServerName domain4.de
ServerAlias *.domain4.de
...
</VirtualHost>
##############
<VirtualHost xxx.xxx.xxx.11:80>
ServerName domain5.de
ServerAlias *.domain5.de
...
</VirtualHost>
##############

Und meine vhosts_443.conf wie folgt:

NameVirtualHost xxx.xxx.xxx.12:443
NameVirtualHost xxx.xxx.xxx.13:443

<VirtualHost xxx.xxx.xxx.12:443>
ServerName domain3.de
ServerAlias *.domain3.de
...
SSLEngine on
SSLCertificateFile /etc/apache2/SSL-domain3/server.crt
SSLCertificateKeyFile /etc/apache2/SSL-domain3/server.key
</VirtualHost>

<VirtualHost xxx.xxx.xxx.13:443>
ServerName domain5.de
ServerAlias *.domain5.de
...
SSLEngine on
SSLCertificateFile /etc/apache2/SSL-domain5/server.crt
SSLCertificateKeyFile /etc/apache2/SSL-domain5/server.key
</VirtualHost>

Wenn ich dann versuche https://www.domain3.de oder https://www.domain5.de im Browser aufrufe, erhalte ich im Firefox "Fehler: Verbindung fehlgeschlagen. Firefox kann keine Verbindung zu dem Server unter www.domain5.de aufbauen."

apache2ctl configtest bringt Syntax OK

Mir kommt es so vor, als würde der Apache gar nicht an den SSL-IPs lauschen so wie ich es ihm eigentlich in der ports.conf aufgetragen habe. Anpingen kann ich den Server über die neuen IPs und ich kann mich über die neuen IPs auch per SSH einloggen. Die 80er Hosts laufen problemlos.
Bin irgendwie mit meinem Latein am Ende, da ich eigentlich nicht wüßte, was an der Konfiguration falsch sein könnte (OK, das NameVirtualHost xxx.xxx.xxx.12:443 und NameVirtualHost xxx.xxx.xxx.13:443 macht eigentlich keinen Sinn, aber ohne ist das Ergebnis im Browser das gleiche)

SSL hat auch bisher auf der Kiste funktioniert, da bereits die Domain domain3.de mit SSL lief - die http-Requests und die https-Requests liefen bisher über eine IP (xxx.xxx.xxx.11))

Hat jemand einen Tipp?

Danke + Gruß
Andreas

Roger Wilco
09.06.10, 18:10
(Hintergrund: Die 80er http-Requests sollen an eine IP gehen und für die 2 SSL-Domains verwende ich jeweils eine eigene IP).
Das ist dein Denkfehler. Woher soll der Nameserver denn wissen, welche IP-Adresse er für domain3.tld und domain5.tld zurückliefern soll, die für HTTP oder die für HTTPS?

yops
10.06.10, 10:05
Das ist dein Denkfehler. Woher soll der Nameserver denn wissen, welche IP-Adresse er für domain3.tld und domain5.tld zurückliefern soll, die für HTTP oder die für HTTPS?
DAAAAAAAAAAAAAAAAAAAAAAANKE Roger!!!!

Mein lieber Schwan, da habe ich ja mal den Wald vor lauter Bäumen nicht gesehen... Habe die A-Records und die Apache-Konfiguration entsprechend angepaßt.