Apache SNI Multi SSL Server

#1
Hallo an alle,

ich habe nach lange Zeit mal wieder ein Problem mit ISP Config. Laut Update Bericht sollte ja mit der akutellen Version und dem Apache SNI funktionieren. Allerdings bekomme ich es nicht ans laufen.
Openssl: 0.9.8o und Apache 2.2.16.

Könnt ihr mir bitte helfen. Danke
 

Till

Administrator
#2
SNI bedarf keiner weiteren Konfiguration auf dem Server, daher hat es nichts mit ispconfig zu tun ob sni funktioniert oder nicht. Die checkbox in ispconfig dient lediglich dazu im Interface die Überprüfung dass nur ein SSL cert pro IP angelegt werden darf zu deaktivieren.

Ob sni geht hängt ausschließlich von der apache und openssl version sowie dem verwendeten webbrowser ab. Welche versionen da funktionieren steht in der wikipedia.

Server Name Indication - Wikipedia, the free encyclopedia
 
#3
... dem Apache SNI funktionieren. Allerdings bekomme ich es nicht ans laufen.
Geht mir genauso.
Eingesetzte Versionen:
Code:
root@admin:~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 7.0 (wheezy)
Release:        7.0
Codename:       wheezy

root@admin:~# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Oct 30 2012 23:32:31

root@admin:~# openssl version
OpenSSL 1.0.1c 10 May 2012
SNI bedarf keiner weiteren Konfiguration auf dem Server, daher hat es nichts mit ispconfig zu tun ob sni funktioniert oder nicht.
In welchen Logs kann ich denn sehen, warum es nicht geht?
Die checkbox in ispconfig dient lediglich dazu im Interface die Überprüfung dass nur ein SSL cert pro IP angelegt werden darf zu deaktivieren.
OK, aber wofür sind die beiden Textfelder (CA Pfad & CA Passwort) wenn sie nicht gebraucht werden?

@Till: Sei mir bitte nicht böse, ich versuche nur zuverstehen, da SNI ein föllig neues Thema für mich ist und ich gerne die Hintergründe verstehen möchte.
 

Till

Administrator
#4
OK, aber wofür sind die beiden Textfelder (CA Pfad & CA Passwort) wenn sie nicht gebraucht werden?
Die Felder haben nichts mit SNI zu tun. Das eine Feld ist für eine SSL CA and das andere für das CA Passwort. Es gibt durchaus Unternehmen die ISPConfig einsetzen und eine eigene SSL CA betrieben...

In welchen Logs kann ich denn sehen, warum es nicht geht?
Wenn Du vielleicht mal sagen würdest was genau nicht geht dann könnten wir hier versuchen Dir weiter zu helfen. Wie auf wikipedia beschrieben ist bei SNI vor allem auch der Browser wichtig und nicht nur die Server Software. Z.b. kann kein einziger IE unter WinXP SNI, selbst die aktuellsten Versionen nicht.

In welchen Logs kann ich denn sehen, warum es nicht geht?
Es gibte dafür keine spezifischen Logs. Es werden die normalen Logs des apache sowie die ssl logs verwendet.
 
#5
Die Felder haben nichts mit SNI zu tun. Das eine Feld ist für eine SSL CA and das andere für das CA Passwort. Es gibt durchaus Unternehmen die ISPConfig einsetzen und eine eigene SSL CA betrieben...
verstanden


... ist bei SNI vor allem auch der Browser wichtig und nicht nur die Server Software. Z.b. kann kein einziger IE unter WinXP SNI, selbst die aktuellsten Versionen nicht.
Mein Browser ist Firefox 19.0, SNI geht mit dem, habe ich unter https://www.sni.velox.ch/ getestet.


Wenn Du vielleicht mal sagen würdest was genau nicht geht dann könnten wir hier versuchen Dir weiter zu helfen.
Ich habe drei Webseiten eingerichtet, beide mit * als IPv4. Bei allen habe ich SSL eingerichtet. Beim aufruf der Seiten über https://... lande ich immer auf der ersten Seite (die in "/etc/apache2/sites-enabled" als erstes steht). Beim aufruf über http://... ist alles ok.

eventuell hilt das weiter:
Code:
root@admin:~# service apache2 restart
[....] Restarting web server: apache2[Wed Feb 20 15:58:44 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
[Wed Feb 20 15:58:44 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
 ... waiting [Wed Feb 20 15:58:45 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
[Wed Feb 20 15:58:45 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
. ok
 
#7
Außer
Code:
root@admin:~# service apache2 restart
[ ok ] Restarting web server: apache2 ... waiting .
keine Veränderung.
Beim Aufruf über https://... lande ich immer auf der ersten Seite.



Nehme alles zurück, nach der Änderung, die Till mir gesagt hat, und dem löschen des Browsercache scheint es zu gehen.
 
Zuletzt bearbeitet:

Till

Administrator
#8
Dann lag es wahrscheinlich daran dass Du einen apache ssl defaul host angelegt hattest. Unter Debian und Ubuntu kannst Du ihn mit:

a2dissite default-ssl

deaktivieren.
 

Werbung

Top