Apache und SSL-Zertifikate

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache und SSL-Zertifikate

Postby bibe » 21. April 2006 23:50

Hi,
ich habe einige grundlegende Fragen zur Organisation des Apachen mit SSL-Zertifakten.

1) Sollte ich tatsächlich für jede Domain und für jede Subdomain ein eigenes Zertifkat generieren, um nicht ständig vom Browser auf folgenden Fehler ingewiesen zu werden? Oder kann ich einem Zertifikat irgendwie mehrere Hosts zuweisen?
"Security Error: Domain Name Mismatch"

2) Dann müsste ich auch für jede Subdomain einen eigenen VirtualHost erstellen, um dort die jeweiligen Zertifikate zuzweisen. Bisher fasse ich Sudomains mittels ServerAlias teilweise in einem vHost zusammen.

3) In den Details des Zertifikats ist eine Gültigkeit von 30 Tagen definiert. OK, das kann ich bei der Generierung auf ein Jahr verlängern, aber was ist dann? Funktioniert dann SSL nicht mehr und ich muss wieder neue Zertikfikate generieren?

Ich würde mich über den einen oder anderen Tipp sehr freuen.
Viele Grüße
BiBe
bibe
 
Posts: 17
Joined: 10. April 2006 18:13

Postby Wiedmann » 22. April 2006 10:26

2) Dann müsste ich auch für jede Subdomain einen eigenen VirtualHost erstellen, um dort die jeweiligen Zertifikate zuzweisen. Bisher fasse ich Sudomains mittels ServerAlias teilweise in einem vHost zusammen.

Auch wenn der Apache so eine Konfiguration zulässt... SSL mit einem namebased Virtualhost ist falsch, weil es genau genommen technisch nicht geht (auch wenn das vielen bei oberflächlichen Beobachting nicht auffällt).
--> SSL geht nur mit IPbased VHosts (beantwortet im Prinzip auch Frage 1)

OK, das kann ich bei der Generierung auf ein Jahr verlängern, aber was ist dann? a) Funktioniert dann SSL nicht mehr und b) ich muss wieder neue Zertikfikate generieren?

a) SSL funktioniert dann schon noch, der Browser zeigt halt eine Warnung an, dass das Cert abgelaufen ist.
b) genau.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby bibe » 22. April 2006 11:21

Hi,
vielen Dank für die Information.
Das heißt also, dass ich maximal ein SSL-Zertifikat pro IP erstellen kann? Ich verwende IP-based VirtualHosts, löse dann aber mit ServerName und ServerAlias die Namen auf.
Somit bräuchte also jede Domain und jede Subdomain, für die ich ein SSL-Zertifikat erstellen möchte, eine eigene IP-Adresse?
Leider habe ich nur eine IPv4-Adresse, aber dann muss ich wohl entweder mit der Sicherheitswarnung des Browsers leben oder weitere IP-Adressen bestellen. Oder gibt es noch weitere Möglichkeiten?
Viele Grüße
BiBe
bibe
 
Posts: 17
Joined: 10. April 2006 18:13

Postby Wiedmann » 22. April 2006 12:14

Ich verwende IP-based VirtualHosts, löse dann aber mit ServerName und ServerAlias die Namen auf.

ServerAlias gibt es nur bei namebased VirtualHosts...

Somit bräuchte also jede Domain und jede Subdomain, für die ich ein SSL-Zertifikat erstellen möchte, eine eigene IP-Adresse?

Für jede SSL-Domain braucht man normal eine eigene IP. Wenn man genau für diese Domain auch Subdomains hat, könnte man auch ein Wildcard-Zertifikat nehmen (wird halt nicht von allen Browsern anerkannt).

aber dann muss ich wohl entweder mit der Sicherheitswarnung des Browsers leben

Die erste Hürde dürfte hier ja schon sein, dass der Browser den Austeller des Certs anerkennt ;-)

Oder gibt es noch weitere Möglichkeiten?

Manche Massenwebhoster benutzen hier auch SSL-Proxy's für sowas.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby bibe » 22. April 2006 12:48

Hi,
danke für die Infos.

ServerAlias gibt es nur bei namebased VirtualHosts...

Das ist seltsam, denn ich habe folgende Konfiguration:
Code: Select all
NameVirtualHost 85.214.xx.xx:80
NameVirtualHost 85.214.xx.xx:443

<VirtualHost 85.214.xx.xx:80>
    ServerName mydomain.de
    ServerAlias www.mydomain.de
    [..]
</VirtualHost>

Hier kann ich prima die einzelnen Domains und Subdomains zuordnen.

Manche Massenwebhoster benutzen hier auch SSL-Proxy's für sowas.

Ah, stimmt. So hieß das, was mir 1und1 damals in meinem Webhosting-Paket angeboten hat, auch. Ich hab' mich schon gefragt, wie die das wohl machen. Denn große Webhoster wollen wohl nicht jedem Kunden eine eigene Domain zuweisen.
Hm, dann muss ich mich also mit solch einem SSL-Proxy auseinandersetzen...

Viele Grüße
BiBe
bibe
 
Posts: 17
Joined: 10. April 2006 18:13

Postby Wiedmann » 22. April 2006 13:18

Das ist seltsam, denn ich habe folgende Konfiguration:
Code: Select all
NameVirtualHost 85.214.xx.xx:80
NameVirtualHost 85.214.xx.xx:443

<VirtualHost 85.214.xx.xx:80>
    ServerName mydomain.de
    ServerAlias www.mydomain.de
    [..]
</VirtualHost>

Hier kann ich prima die einzelnen Domains und Subdomains zuordnen.

Durch die Verwedung der Directive "NameVirtualHost" hast du hier einen (zwei) namebased VHost angelegt (dafür ist diese Directive da).

In diesem Beispiel fehlt dann natürlich noch die VirtualHost-Config für den namebased Host, der auf Port 443 dieser IP läuft.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby bibe » 22. April 2006 13:22

Hi!

Durch die Verwedung der Directive "NameVirtualHost" hast du hier einen (zwei) namebased VHost angelegt (dafür ist diese Directive da).


Ah, ok. Dann sehe ich ein, dass ich name-based VirtualHosts verwende. :)

Vielen Dank für die Informationen,
viele Grüße
BiBe
bibe
 
Posts: 17
Joined: 10. April 2006 18:13

Postby bibe » 23. April 2006 12:58

Hi,
mittlerweile habe ich ein wenig mit meinem Apachen herumgespielt und einen SSL-Proxy-Server gebastelt. Leider kann ich auch damit nur genau eine Domain mit dem SSL-Zertifikat versehen (solange mir nur eine IP zur Verfügung steht). Ich habe nun das Zertifikat für die Domain ssl.domain.de eingerichtet, und kann dann über https://ssl.domain.de/www.otherDomain.de die Verbindung zu otherDomain.de über den SSL-Proxy tunneln. Dann könnte ich aber genausogut, einen symLink in das DocumentRoot von ssl.domain.de mit dem Namen "www.otherDomain.de" ("Options FollowSymLinks") zum DocumentRoot von otherDomain.de setzen, hätte damit denselben Effekt und könnte mir den Proxy sparen.
Nach wie vor gefällt mir die Lösung aber leider nicht :roll:, denn so wundert sich der User über die seltsamem Pfade in seiner Adressleiste genauso, wie er sich über eine Info vom Browser wundern würde, dass das Zertifikat nicht zur verwendeten Domain passt.
Habe ich also keine andere Chance, als mir für jede SSL-(Sub)Domain eine eigene IP zu bestellen?
Über weitere Antworten würde ich mich sehr freuen,
viele Grüße
BiBe
bibe
 
Posts: 17
Joined: 10. April 2006 18:13


Return to Apache

Who is online

Users browsing this forum: No registered users and 13 guests