Mehrere virutelle Server MIT ssl (HTTPS)

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Mehrere virutelle Server MIT ssl (HTTPS)

Postby Knappe » 18. November 2004 18:03

Hallo und guten Abend,

ich bin schon länger Anwender von XAMPP und habe gerade auf die aktuellste Windows-Version umgstellt (keine Probleme).

Nun muß ich aber meine Server-Konfigration folgendermassen abändern und scheitere jedesmal an "meinen" Unzulänglichkeiten :

1. Ich habe 3 verschiedene Internetadressen (www.???.de), die alle über dyndns.org (mit je 1 eigener IP) geroutet werden (also 3 verschiedene dynamische IP´s). Bei mir kommt für alle ID´s natürlich nur (insgesamt) 1 IP an (da mein eigener Router die Umsetzung in meinem LAN macht).
2. Alle 3 Internetadressen sollen aber jeweils eigene Verzeichnisse, eigene User usw. aktivieren.
3. Mit den Standard-HTTP (Port 80) ist das alles ja kein Problem und funktioniert seit Monaten super.
4. Nun MÜSSEN aber alle Zugriffe über HTTPS (Port 443) abgewickelt werden und genau da scheitere ich bei der Konfiguration (und ich habe schon die verschiedensten Möglichkeiten durchgetestet).

Ich habe dieses Forum auch schon nach Hinweisen durchsucht, aber für mehrere virtuelle Server inkl. ssl UND NUR EINER IP wirklich nichts gefunden.
Auch die Apache-Seiten selbst waren nicht sehr hilfreich (IP-basiert,Namensbasiert und/oder gemixt).

Deshalb : Wie könnte so eine Beispielskonfigration aussehen (HTTP.CONF, SSL.CONF) und welche Einträge müssten dann auch in der HOSTS gemacht werden (Win98) ?

Hoffe irgendjemand kann mir weiterhelfen ...
Knappe
 
Posts: 114
Joined: 18. November 2004 17:40

Postby Wiedmann » 18. November 2004 19:01

aber für mehrere virtuelle Server inkl. ssl UND NUR EINER IP wirklich nichts gefunden.

Weil das (namebased VHosts) in einer produktiv Umgebung auf Grund der SSL-Technik nicht funktioniert.

1. Ich habe 3 verschiedene Internetadressen (www.???.de), die alle über dyndns.org (mit je 1 eigener IP) geroutet werden (also 3 verschiedene dynamische IP´s). Bei mir kommt für alle IP´s natürlich nur (insgesamt) 1 IP an (da mein eigener Router die Umsetzung in meinem LAN macht).

Aha? Dann hat dein Router 3 verschiedene externe (WAN) IP's?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby Knappe » 18. November 2004 20:04

Nein, natürlich nicht ... habe mich nur "blöd" ausgedrückt !

Der DHCP-Server koppelt eine Anfrage auf irgendeinen Port mit genau einer MAC-Adresse eines PC´s aus meinem LAN. Genau diesem kann ich eine feste IP zuordnen.
Es ist nicht möglich, der gleichen MAC-Adresse zwei verschiedene IP´s zuzuordnen.
Demzufolge kommt auf meinem Server tatsächlich immr nur eine IP an.

Aber vielleicht habe ich ja etwas übersehen ?

Abgesehen davon hat jede o.g. Domain aber tatsächlich eine eigene IP-Adresse von dyndns.org. (eben nur bis zum Router ?)
Vielleicht gibts ja eine Möglichkeit der IP-Adressen des WANS mit ins LAN zu übernehmen. Habe aber keine Ahnung wie so etwas dann funktionieren könnte (wäre ja auch eleganter in Bezug auf die Zertifkate).
Knappe
 
Posts: 114
Joined: 18. November 2004 17:40

Postby Wiedmann » 18. November 2004 20:15

Abgesehen davon hat jede o.g. Domain aber tatsächlich eine eigene IP-Adresse von dyndns.org. (eben nur bis zum Router ?)

Du hast eine Standleitung mit einer eigenen IP-Range zuhause?
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby Knappe » 18. November 2004 20:19

Nein, aber 3 IP´s, die über Programm "DirectUpdate" aktuell gehalten werden.

Aber siehe da ... 3 Domains, aber nur überall die gleiche IP (hatte ich noch gar nicht bemerkt, schöner "Mist").

Komme darüber also keiner Lösung näher.
Knappe
 
Posts: 114
Joined: 18. November 2004 17:40

Postby Wiedmann » 18. November 2004 20:31

Also doch ganz normal:
3 Subdomains die auf die WAN IP von deinem Router zeigen. Dieser macht dann ein port-forwarding von Port 80/443 auf deinen XAMPP PC.

Damit kannst du nur namebased VHosts machen. Anleitungen dafür gibt es hier ja zuhauf...

Diese Anleitungen sind auch für VHosts auf Port 443 gültig. Problem dabei ist nur, dass SSL nur mit IP-based VHosts korrekt läuft. Zum Testen kann man auch hier namebased benutzen. Dann meckert der Browser halt bei jedem VHost, ausser dem Ersten, ein ungültiges Zertifikat an...

Oder du machst für SSL eine eigene Subdomain und bindest deine Eigentlichen über Aliase ein:
"https://ssl.dynip.org/host1/"
"https://ssl.dynip.org/host2/"
"https://ssl.dynip.org/host3/"
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby Knappe » 18. November 2004 21:05

Aliases oder Serveraliases ?

Letzteres (Serveraliases) habe ich schon versucht, bin aber leider gescheitert.

Beispiel :

<virtualhost 192.168.0.100:443>
...
Servername Domain1
Serveralias Domain1.de *.Domain1.de
...
</virtualhost>

<virtualhost 192.168.0.100:443>
...
Servername Domain2
Serveralias Domain2.de *.Domain2.de
...
</virtualhost>

etc.

funktioniert nicht (vorsichtshalber auch HOSTS angepasst, damit ich keine Probleme mit Windows bekomme).
Knappe
 
Posts: 114
Joined: 18. November 2004 17:40

Postby Knappe » 19. November 2004 01:11

So ich glaube ich habe es nun kapiert :

Vorrausetzung ...
Man will für die verschiedenen Domains allesamt KEINE Fehlermeldungen über das Zertifkat im Browser haben !

1. SSL geht wirklich nur mit EINER IP (per Logik des SSL-Protokolls). Hat man also mehrere Domains, die über "dyndns" oder andere geroutet werden, wird vom jeweiligen Anbieter immer nur EINE IP "geliefert".

2. eine Benutzeranfrage wird über diese IP via DSL-Router (NAT-Tabelle) auf einen bestimmten Port (i.d.R. Port 443 bei SSL) und einen bestimmten Rechner im eigenem LAN weitergeleitet.

3. Über die "LISTEN"-Anweisung in der HTTPD.CONF vom Apache-Server "greift" man nun diesen Wert aus der NAT-Tabelle des Routers ab. Der Server kann jetzt also erst aktiv werden

4. Aufgrund der "Logik" des SSL-Protokolls (Port 443) kann eine Verbindung (sprich IP-Nummer) immer nur mit EINER "Zieladresse" bestehen (entspricht z.B. EINER VirtuellenServer- Konfiguration in der HTTPD.CONF).

5. Demzufolge können NIE mehrere SSL-Virtualhost-Container vom Apache-Server interpretiert werden WENN NUR EINE IP vorhanden ist (da ja keine Protokoll-Zuordnung möglich ist) !

6. Aufgrund dieser Problematik gibt es nur die Möglichkeit, diese einzige IP an einen Proxy-Server weiterzuleiten (auch Bestandteil von Apache), um dann von hier aus (sprich intern/innerhalb vom Apache) die Benutzeranfragen an "stinknormale" VirtualHost-Container/-Definitionen weiterzuleiten (als wenn die Anfragen über Port 80 gekommen wären).

Benutzer
--> Browser
--> Hoster der eigenen Domain
--> Hoster der dynamischen IP-Verwaltung
--> eigener Router
--> NAT-Tabelle
--> eigener PC/Servcer
--> Apache --> Apache-Proxy (nimmt die SSL-Anfrage entgegen und leitet weiter an)
--> z.B. port 80 -> Virtual Host 1 ODER Virtual Host 2 ODER .....

7. Demzufolge besteht eine SSL-Verbindung nur BIS ZUM Proxy. Das danach folgende Routing ist "stinknormal" (sprich auch mehrere namensbasierte Host laufendann prima)

Wenn was falsch in dieser Beschreibung ist ... bitte korrigieren.

Wäre nett, wenn sich jemand dazu "hinreissen" lassen würde und entsprechende Beispiele für die technische Umsetzung bzw. entsprechende Links hier dann eintragen würde (kann mir vorstellen, dass dann viele Fragen schnell beantwortet werden würden).





7.
der dann wiederum
Verbindungs- und Interpretatiosn
Knappe
 
Posts: 114
Joined: 18. November 2004 17:40


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 14 guests