apache2 ssl hosts - mehrere domains pro IP?

[rakso]

hi!

ich bin mir jetzt nichtmehr ganz sicher, kann man nun mit apache2 mehrere vhosts mit ssl haben?

http://www.globalsign.com/support/in...all_apache.php

also mit

<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /usr/local/etc/apache22/ssl/certs/domain1.crt
SSLCertificateKeyFile /usr/local/etc/apache22/ssl/private/domain1.key
SSLCertificateChainFile /usr/local/etc/apache22/ssl/certs/sub.class1.server.ca.pem
#SSLCACertificateFile
#http://www.globalsign.com/support/in...all_apache.php

....

in Includes/domain1.cfg


oder müsste ich dann doch eine weitere IP beantragen für eine andere ssl-domain?

[Rakor]

Klar kannst du mehrere definieren... Und klar können sie nicht auf gleicher IP:Port lauschen...

Du musst also entweder die IP und/oder den Port für den nächsten vHost ändern.

[rakso]

hmm hier steht dass es mit mod_gnutls gehen soll?!

http://www.tech-nerds.de/blog/2009/0...-virtualhosts/

oder pound... damit ich wenigstens das mit einer jail machen kann.

[rakso]

ich habe jetzt auf dem host per pf die ports 80 und 443 von der neuen IP auf die jail mit der anderen weitergeleitet. wie müssen dann die apache cfg-direktiven für die erste und dann die zweite ssl domain aussehen?

edit. laut einem kommentar hier kann das mod_ssl nun auch.
http://www.commander1024.de/wordpres...wand-gefahren/

.. ich beschäftige mcih gleich damit... mit mod_ssl wäre mir das am liebsten

[cosmo]

Es ist nicht unmöglich, mehrere SSL-VHosts pro IP zu betreiben, das nennt sich Server Name Indication: http://en.wikipedia.org/wiki/Server_Name_Indication.

Wenn man das benutzen will, sollte man sich aber der Einschränkungen bewusst sein.

[thorwin]

Ich habe das jetzt mit SNI und nginx hier am Laufen. Wer noch einen IE6 und/oder Windows XP benutzt, hat dann halt verloren,aber das nehme ich hin

[minimike]

Du kannst auch ¹ MOD_Gnu_TLS oder ² MOD_NSS verwenden.

SSL via GnuTLS ist einfach. Via NSS ist es was schwieriger aber sicherer.

MOD_NSS wird unter Redhat verwendet um FreeIPA eine Freie IPA Lösung zu Betreiben.

¹ ist in den Ports

² must du zu Fuß kompilieren

SNI funktioniert nicht mit allen Browsern. NSS und Multicerts habe ich von Win 98 bis Win 7 getestet, läuft.....

[reakktor]

Zitat:

Zitat von minimike

Du kannst auch ¹ MOD_Gnu_TLS oder ² MOD_NSS verwenden.

Per Definition werden dach dem SSL Handshake nur verschlüsselte Daten übertragen - einschliesslich HTTP-Requests.

Damit ist per se ein Virtual-Hosting erst mal unmöglich - die Request-Daten, die ein Webserver aus dem Request für Vhosts bezieht, sind bereits verschlüsselt.

Eine SSL-Verbindung besteht nur sitzungsgebunden zwischen einem Client und einem Server. HTTPS-Sitzungen erfordern SSL-Zertifikate, die entweder IP oder namensgebunden sind. Da kommt man nicht aus.

Um an verschiedene Requests per IP/Name zu kommen (und damit den VHost zu bekommen), müsste der Webserver erst einmal die eigentlich gesicherte Verbindung entschlüsseln.

Problem ist nun, wie und ob ein Webserver die Daten entschlüsseln darf, um Virtual-Hosting wieder möglich zu machen.

mod_gnutls und Konsorten begeben sich da meiner Meinung nach auf Abwege, da sie die Entschlüsslung aka "man-in-the-middle" übernehmen, um an die Request-Daten zu kommen, die ja eigentlich verschlüsstelt bleiben sollten.

Und für die eigetliche Frage - nein - vhosts und SSL auf einer IP schliessen sich eigentlich aus.

[makenoob]

Vhosts und SSL auf einer IP schließen sich nicht aus, da hierfür TLS verwendet werden soll. Das unterstützen allerdings einige Dinosaurier- bzw. Mobilbrowser nicht und wird daher so gut wie gar nicht verwendet.

[Bummibaer]

Hi,
geb oifach jedem SSL VHOST ne eigene öffentliche IP. Dank IPv6 ist das ja wahrlich in der heutigen Zeit kein Problem mehr (sofern man nicht genug IPv4 Adressen hat) und kosten tut das auch nichts. Wenn Du das aus irgendwelchen Gründen nicht möchtest setz einfach nen SSL Proxy dazwischen. Das ist zwar keine gute aber besser als garkeine Lösung.

Gruß Bummibär