apache2 ssl hosts - mehrere domains pro IP?

R

rakso

Well-Known Member
hi!

ich bin mir jetzt nichtmehr ganz sicher, kann man nun mit apache2 mehrere vhosts mit ssl haben?

http://www.globalsign.com/support/install/install_apache.php

also mit

<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /usr/local/etc/apache22/ssl/certs/domain1.crt
SSLCertificateKeyFile /usr/local/etc/apache22/ssl/private/domain1.key
SSLCertificateChainFile /usr/local/etc/apache22/ssl/certs/sub.class1.server.ca.pem
#SSLCACertificateFile
#http://www.globalsign.com/support/install/install_apache.php

....

in Includes/domain1.cfg


oder müsste ich dann doch eine weitere IP beantragen für eine andere ssl-domain?
 
Klar kannst du mehrere definieren... Und klar können sie nicht auf gleicher IP:Port lauschen...

Du musst also entweder die IP und/oder den Port für den nächsten vHost ändern.
 
ich habe jetzt auf dem host per pf die ports 80 und 443 von der neuen IP auf die jail mit der anderen weitergeleitet. wie müssen dann die apache cfg-direktiven für die erste und dann die zweite ssl domain aussehen?

edit. laut einem kommentar hier kann das mod_ssl nun auch.
http://www.commander1024.de/wordpress/2011/02/mod_gnutls-vor-die-wand-gefahren/

.. ich beschäftige mcih gleich damit... mit mod_ssl wäre mir das am liebsten
 
Zuletzt bearbeitet:
Ich habe das jetzt mit SNI und nginx hier am Laufen. Wer noch einen IE6 und/oder Windows XP benutzt, hat dann halt verloren,aber das nehme ich hin ;)
 
Du kannst auch ¹ MOD_Gnu_TLS oder ² MOD_NSS verwenden.

SSL via GnuTLS ist einfach. Via NSS ist es was schwieriger aber sicherer.

MOD_NSS wird unter Redhat verwendet um FreeIPA eine Freie IPA Lösung zu Betreiben.

¹ ist in den Ports

² must du zu Fuß kompilieren

SNI funktioniert nicht mit allen Browsern. NSS und Multicerts habe ich von Win 98 bis Win 7 getestet, läuft.....
 
minimike schrieb:
Du kannst auch ¹ MOD_Gnu_TLS oder ² MOD_NSS verwenden.
Zum Vergrößern anklicken....

Per Definition werden dach dem SSL Handshake nur verschlüsselte Daten übertragen - einschliesslich HTTP-Requests.

Damit ist per se ein Virtual-Hosting erst mal unmöglich - die Request-Daten, die ein Webserver aus dem Request für Vhosts bezieht, sind bereits verschlüsselt.

Eine SSL-Verbindung besteht nur sitzungsgebunden zwischen einem Client und einem Server. HTTPS-Sitzungen erfordern SSL-Zertifikate, die entweder IP oder namensgebunden sind. Da kommt man nicht aus.

Um an verschiedene Requests per IP/Name zu kommen (und damit den VHost zu bekommen), müsste der Webserver erst einmal die eigentlich gesicherte Verbindung entschlüsseln.

Problem ist nun, wie und ob ein Webserver die Daten entschlüsseln darf, um Virtual-Hosting wieder möglich zu machen.

mod_gnutls und Konsorten begeben sich da meiner Meinung nach auf Abwege, da sie die Entschlüsslung aka "man-in-the-middle" übernehmen, um an die Request-Daten zu kommen, die ja eigentlich verschlüsstelt bleiben sollten.

Und für die eigetliche Frage - nein - vhosts und SSL auf einer IP schliessen sich eigentlich aus.
 
Zuletzt bearbeitet:
Vhosts und SSL auf einer IP schließen sich nicht aus, da hierfür TLS verwendet werden soll. Das unterstützen allerdings einige Dinosaurier- bzw. Mobilbrowser nicht und wird daher so gut wie gar nicht verwendet.
 
Hi,
geb oifach jedem SSL VHOST ne eigene öffentliche IP. Dank IPv6 ist das ja wahrlich in der heutigen Zeit kein Problem mehr (sofern man nicht genug IPv4 Adressen hat) und kosten tut das auch nichts. Wenn Du das aus irgendwelchen Gründen nicht möchtest setz einfach nen SSL Proxy dazwischen. Das ist zwar keine gute aber besser als garkeine Lösung.

Gruß Bummibär
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben