Apache Friends Support Forum

[myo]

Hallo,

auf meinem Apache 2 laufen mehrere namensbasierte virtuelle hosts über dieselbe IP-Adresse. Über HTTP läuft das auch wunderbar. Das sowas über HTTPS nicht geht ist mir klar, da der Server ja zuerst den SSL Handshake ausführt und dann erst den ihm übergebenen Servernamen auswertet und dann im Browser die hübsche Warnung kommt, dass der aufgerufene Servername nicht mit dem Zertifikat übereinstimmt, wenn die aufgerufene Domain nicht die mit dem Zertifikat war.
Mein Problem ist nun folgendes:
Ich habe in meiner SSL-Konfigurationsdatei zwei Subdomains, webmail.beispiel.de und wasanderes.beispiel.de, welche über ein *.beispiel.de Zertifikat abgedeckt sind. Wenn ich nun aber https://beispiel2.de in meinem Browser aufrufe lande ich immer auf der Seite von webmail.beispiel.de und der Browser schreit das der Servername nicht mit dem Zertifikat übereinstimmt. Ist ja klar, da alle Domains auf dieselbe IP zeigen.
Gibt es nun irgendeinen Trick oder irgendwas was ich machen kann sodass alle Anfragen an den Server mit https://domain.tld, ausser webmail.beispiel.de und wasanderes.beispiel.de, auf http://domain.tld umgeleitet werden oder z.B eine übliche Fehlermeldung kommt mit "Seite nicht gefunden" oder so ohne das zuvor der Browser noch schreit das der Servername nicht mit dem Zertifikat von *.beispiel.de übereinstimmt?
Bisher endeten nämlich alle meine Versuche damit das zuerst die Fehlermeldung im Browser kam und dann nach dem hinzufügen der Ausnhame im Browser die aufgerufene Domain auf http://... umgeleitet wurde.

Ich hoffe das mir jemand von euch bei meinem Problem helfen kann. Bastel da nun schon ewig dran rum ohne auf einen grünen Zweig zu kommen.
Auf dem Server läuft Debian Etch mit Apache2 aus Lenny (2.2.9-10).

Gruss
Martin

[Wiedmann]

dass alle Anfragen an den Server mit https://domain.tld ... eine übliche Fehlermeldung kommt mit "Seite nicht gefunden"

Definiere im DNS-Server kein "domain.tld". (dann geht's natürlich auch bei "http:// nicht).

[myo]

Definiere im DNS-Server kein "domain.tld". (dann geht's natürlich auch bei "http:// nicht).

Über http://.. sollten die namebased Domains schon ansprechbar sein. Ich hätte gern das alle namebased Domains, mit Ausnahme einer, nur über https:// angesprochen werden können bzw erreichbar sind, wenn das gehen sollte.

[Wiedmann]

Über http://.. sollten die namebased Domains schon ansprechbar sein.

Das geht dann grundsätzlich schon noch. Nur hast du geschrieben, dass "https://domain.tld/" nicht gehen soll. Bei der obigen Lösung geht dann naürlich auch "http://domain.tld/" nicht (was ja auch durchaus normal wäre).

Allle anderen Domains wie "www.domain.tld", "webmail.domain.tld" oder "wasanderes.domain.tld" gehen dann nach wie vor über HTTP und HTTPS. Praktischerweise sollte es dann natürlich für alle HTTP VHosts, auch einen HTTPS VHost geben.

Das was du direkt willst geht nur mit IP basierenden VHosts. Mit namensbasierenden nicht, eben aus den Gründen die du oben selbst angeführt hast (bevor irgendwas über HTTPS passiert, also auch ein Redirect, kommt der SSL-Handshake auf die IP (mit überprüfung des Namens).