Wildcard SSL-Zertifikat und die Config im Apache

Alles, was den Apache betrifft, kann hier besprochen werden.

Wildcard SSL-Zertifikat und die Config im Apache

Postby daimonion » 06. November 2008 11:47

Hallo Leute

Ich hab hier ein Server mit Dapper Drake und darauf läuft ein Apache Server der unser Intranet versorgt. Ich hab mir ein Root-CA und ein SSL-Zertifikat für diesen Rechner erstellt, damit die Verbindung mittels SSL verschlüsselt wird. Nun, um nicht jedem der darauf zugreift, das ROOT-CA installieren zu müssen, hab ich mich mit dem RZ meiner Hochschule, wo der Server steht, in Verbindung gesetzt und mir die Files für das hochschulweite Wildcard SSL-Zertifikat geben lassen. Installiert ist es schnell im Apache, jedoch sobald dieses Zertifikat läuft motzen die Browser mit der Fehlermeldung, dass der Servername nicht zum Zertifikatsnamen passt.

Meine Frage an euch ist, ob und wenn ja, was ich beachten muß, wenn ich das Wildcardzertifikat einsetze. Ich vermute eine fehlerhafte Konfiguration im Apache.

Das Zertifikat ist auf CN=*.hs-furtwangen.de ausgestellt und wird auch von diversen Systemen wie Webmail und Felix2 bei uns im Hause erfolgreich eingesetzt.

Ich poste nochmal einen Ausschnitt aus dem VirtualHosts Teil meiner Config:

Code: Select all
VirtualHost *:80
<VirtualHost *:80>
RewriteEngine on
        RewriteLog "/var/log/apache2/rewrite.log"
        RewriteLogLevel 3
        RewriteCond %{SERVER_PORT}  ^80$
        RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [QSA]
</VirtualHost>
NameVirtualHost intranet.cee.hs-furtwangen.de:443
<VirtualHost intranet.cee.hs-furtwangen.de:443>
        ServerName intranet.cee.hs-furtwangen.de
        ServerAdmin *****@hs-furtwangen.de

        SSLEngine on
#       SSLCertificateFile      /Pfad_zum_CRT_File.crt
#       SSLCertificateKeyFile   /Pfad_zum_Key_File.key
#       SSLCACertificateFile    /Pfad zum Root_CA_File.root.crt
.....


Kennt jemand das Problem, bzw. könnt ihr mir helfen?

Unter http://intranet.cee.hs-furtwangen.de könnt ihr euch den aktuellen Zustand anschauen.

Danke für eure Hilfe.

Grüße Daimonion
daimonion
 
Posts: 4
Joined: 06. November 2008 11:44

Postby glitzi85 » 06. November 2008 19:21

Seltsam, mein FF 3 akzeptiert das Zertifikat, mein IE 6 hingegen nicht. Ich kann's daheim nochmal mit dem IE 7 prüfen.

Manche Zertifikate werden auch nicht von allen Browsern unterstützt, evtl. hast du da einfach pech gehabt. Von der Konfiguration her sieht das eigentlich korrekt aus.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby daimonion » 07. November 2008 08:59

Hallo
Danke für deine Antwort

Bei mir ist es auch so. FF3 akzeptiert. Opera und IE7 akzeptieren das Zertifikat nicht.

Das komische daran ist, dass es in unserem FH Netz haufenweise Rechner gibt, die dieses Zertifikat nutzen. Ich hab die jeweiligen Webmaster bzw. den Supervisor von uns auch schon angeschrieben. Der ist aber momentan im Urlaub.

Irgendwas muß da noch nicht stimmen.

Danke auf jeden Fall für deine Hilfe.

Grüße
Daimonion
daimonion
 
Posts: 4
Joined: 06. November 2008 11:44

Postby daimonion » 10. November 2008 09:49

Hat denn keiner ne Idee?
daimonion
 
Posts: 4
Joined: 06. November 2008 11:44

Postby glitzi85 » 10. November 2008 14:24

Bin jetzt mal ein bisschen auf der FH-Seite rumgesurft und im IE kommt auf dieser Alumni-Anmeldeseite genau die selbe Fehlermeldung. Liegt wohl daran dass der IE6 (7 hab ich noch nicht getestet) beim Wildcard-Zertifikat nur eine Sub-Ebene kann. Also sowas wie https://www.alumni.hs-furtwangen.de bringt den schon aus dem Tritt, https://alumni.hs-furtwangen.de/ hingegen ruft er ohne probleme auf. Genau das gleiche Problem hast du im Endeffekt auch. Ist also kein Problem des Apachen sondern die mangelnde Unterstützung gewisser Browser für Sub-Subdomains in Kombination mit SSL-Wildcard-Zertifikaten.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby daimonion » 10. November 2008 15:19

Ahh, interessanter Ansatz. Danke für den Tipp.

Am kommenden Mittwoch hab ich einen Termin mit einem Admin aus unserem RZ. Mal schauen was der so meint.

danke auf jeden Fall für den Hinweis. Der ist garantiert hilfreich!

Grüße
Daimonion
daimonion
 
Posts: 4
Joined: 06. November 2008 11:44


Return to Apache

Who is online

Users browsing this forum: No registered users and 4 guests