Apache-ssl tobb certificate

Fórumok

Apache-ssl tobb certificate

Hozzászólások

Hali!

Adott egy debian sarge + apache-ssl 1.3.33-3
Van sok sok virtualhost amelybol egypar ssl-es.
A probalemam az, hogy a certificate az tartalmazza
a szerver nevet, es ezert a bongeszo reklamal, hogy
nem egyezik ket szerver nev.

httpd.conf:
...
ServerName server.domain.hu
...
SSLCertificateFile /etc/apache-ssl/apache.pem
...
NameVirtualHost *:80
NameVirtualHost *:443
...
<VirtualHost *:80>
ServerName server.domain.hu
DocumentRoot /var/www/
SSLDisable
ErrorLog /var/log/apache-ssl/error.log
TransferLog /var/log/apache-ssl/access.log
</VirtualHost>

<VirtualHost *:443>
ServerName ssl1.domain.hu
DocumentRoot /var/www/ssl1/
SSLEnable
SSLCertificateFile /etc/apache-ssl/ssl1_domain_hu.pem
ErrorLog /var/log/apache-ssl/ssl1/error.log
TransferLog /var/log/apache-ssl/ssl1/access.log
</VirtualHost>

<VirtualHost *:443>
ServerName ssl2.domain.hu
DocumentRoot /var/www/ssl2/
SSLEnable
SSLCertificateFile /etc/apache-ssl/ssl2_domain_hu.pem
ErrorLog /var/log/apache-ssl/ssl2/error.log
TransferLog /var/log/apache-ssl/ssl2/access.log
</VirtualHost>

A problemam az, hogy ebben az esetbe mindig az "ssl1.domain.hu"-s
certificate-t adja a szerver legalabbis ha az ssl2.domain.hu-t nezem azt
mondja, hogy ssl1.domain.hu certificate de a servername ssl2.domain.hu
persze ha azt mondom, hogy fogadja el akkor elfogadja de hiaba
telepitem a certificate-t mindig megkerdezi a figyelmeztetes miatt.

Mindegyik certificate-t a "make-ssl-cert"-el generaltam, es termeszetesen
mindegyiknel a megfelelo domain nevet adtam meg. (ssl-cert 1.0-11)
/etc/apache-ssl/apache.pem: server.domain.hu
/etc/apache-ssl/ssl1_domain_hu.pem: ssl1_domain.hu
/etc/apache-ssl/ssl2_domain_hu.pem: ssl2_domain.hu

En nagy naivan ugy gondoltam, hogy ha nincs megadva a virtualhost-ban
a SSLCertificateFile akkor a global-t fogja hasznalni ahol pedig meg van
adva ott pedig a megfeleot.

Ha tudja valaki a megoldast az ossza meg velem hiaba probaltam kideriteni nekem eddig nem sikerult.

Thx, Zsalab!

afaik apache csak egy darab ssl tanúsítványt tud kezelni per IP. a megoldás minden egyes SSL site-nak külön IP-t dedikálni.

azt szeretned, hogy minden ssl-es vhosthoz kulon cert legyen?
ha igen, az csak ugy lehetseges, ha minden erintett vhost kulon ip-n (pl ipalias) vagy kulon porton fut. az ok egyszeru: mivel a http host headerbol derul ki, hogy melyik vhostrol van szo, es mivel ez el van kodolva, valamilyen mas modon kell kotni a certet a megfelelo vhosthoz (kulon ip, kulon port). mas megoldas nem lehet; ez az elvart mukodes.

Megjegyzem, van olyan SSL extension, ami arrol szol, hogy SSL handshake alatt elkuldi a kliens, hogy o milyen hostnevhez szeretne csatlakozni, es akkor a szerver ennek alapjan tudja adni neki a certificatet. Csak ezt OpenSSL nem supportalja (sot, a legtobb SSL/TLS lib sem, talan csak a GnuTLS), igy nem is igazan van hasznalatban, es a bongeszok sem tamogatjak... Pedig a lehetoseg adott...

Kar erte, mert hasznos dolog.