PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSL nur für bestimmte Domain


WishMaster@NND
05.11.10, 08:28
Hallo,

ich habe einen Apache 2 mit Ubuntu 10.04 LTS und folgendes Problem: Ich habe zwei SSL-Zertifikate, einmal für bla.domain.de und einmal für blub.domain.de.
Rufe ich https://bla.domain.de auf, funktioniert alles wunderbar. Bei https://blub.domain.de bekomme ich von Chromium den Hinweis, dass das Zertifikat auf bla.domain.de ausgestellt wurde und für blub.domain.de ungültig ist. Ignoriere ich den Fehler, erhalte ich trotzdem den richtigen Inhalt für blub.domain.de
Deaktiviere ich bla.domain.de mit a2dissite, funktioniert blub.domain.de problemlos. Aktiviere ich bla.domain.de wieder, kehrt sich das Problem genau um.
Ich hoffe, ihr könnt mir weiterhelfen :)

Die Virtualhost-Konfigurationen für beide Domains sehen so aus:


<VirtualHost XXX.XXX.XXX.XXX:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/bla
ServerName bla.domain.de
ServerAlias *.bla.domain.de
AssignUserID blauser nobody

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile /etc/apache2/ssl/bla.pem
SSLCertificateKeyFile /etc/apache2/ssl/bla.key
SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
SSLCertificateChainFile /etc/apache2/ssl/ca.pem

</VirtualHost>



und



<VirtualHost XXX.XXX.XXX.XXX:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/blub.domain.de
ServerName blub.domain.de
ServerAlias *.blub.domain.de
AssignUserID blubuser nobody
</VirtualHost>

<VirtualHost XXX.XXX.XXX.XXX:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/blub
ServerName blub.domain.de
ServerAlias *.blub.domain.de
AssignUserID blubuser nobody

SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile /etc/apache2/ssl/blub.pem
SSLCertificateKeyFile /etc/apache2/ssl/blub.key
SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
SSLCertificateChainFile /etc/apache2/ssl/ca.pem

</VirtualHost>
marce
05.11.10, 08:48
IP/PortBased oder NameBased vHosts?
WishMaster@NND
05.11.10, 08:54
Wenn du das meinst, was ich glaube, dass du meinst, dann IP/Port based:


NameVirtualHost XXX.XXX.XXX.XXX:80
NameVirtualHost XXX.XXX.XXX.XXX:443
marce
05.11.10, 09:00
Das wäre NameBased - das geht nicht.

Du brauchst entweder spezielle Zertifikate (MultiHost) oder "irgendeine andere Lösung, deren Name mir gerade nicht einfällt"...

edit sagt: gefunden: http://www.linuxforen.de/forums/showpost.php?p=1751458&postcount=16
WishMaster@NND
05.11.10, 09:50
Mhm ... seltsam ... aber durch SNI sollte das ja eigentlich automatisch gehen ... tut es aber nicht. Oder habe ich etwas übersehen, wie man das aktiviert?
WishMaster@NND
05.11.10, 10:25
Mysteriös ... wieso geht es jetzt plötzlich? Irgendwie ist mir das nicht ganz geheuer ... denn ganz am Anfang ging es auch schon mal ...