Apache SNI Multi SSL Server

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von trelock, 19. Feb. 2013.

  1. trelock

    trelock New Member

    Hallo an alle,

    ich habe nach lange Zeit mal wieder ein Problem mit ISP Config. Laut Update Bericht sollte ja mit der akutellen Version und dem Apache SNI funktionieren. Allerdings bekomme ich es nicht ans laufen.
    Openssl: 0.9.8o und Apache 2.2.16.

    Könnt ihr mir bitte helfen. Danke
     
  2. Till

    Till Administrator

    SNI bedarf keiner weiteren Konfiguration auf dem Server, daher hat es nichts mit ispconfig zu tun ob sni funktioniert oder nicht. Die checkbox in ispconfig dient lediglich dazu im Interface die Überprüfung dass nur ein SSL cert pro IP angelegt werden darf zu deaktivieren.

    Ob sni geht hängt ausschließlich von der apache und openssl version sowie dem verwendeten webbrowser ab. Welche versionen da funktionieren steht in der wikipedia.

    Server Name Indication - Wikipedia, the free encyclopedia
     
  3. Pionier

    Pionier Member

    Geht mir genauso.
    Eingesetzte Versionen:
    Code:
    root@admin:~# lsb_release -a
    No LSB modules are available.
    Distributor ID: Debian
    Description:    Debian GNU/Linux 7.0 (wheezy)
    Release:        7.0
    Codename:       wheezy
    
    root@admin:~# apache2 -v
    Server version: Apache/2.2.22 (Debian)
    Server built:   Oct 30 2012 23:32:31
    
    root@admin:~# openssl version
    OpenSSL 1.0.1c 10 May 2012
    
    In welchen Logs kann ich denn sehen, warum es nicht geht?
    OK, aber wofür sind die beiden Textfelder (CA Pfad & CA Passwort) wenn sie nicht gebraucht werden?

    @Till: Sei mir bitte nicht böse, ich versuche nur zuverstehen, da SNI ein föllig neues Thema für mich ist und ich gerne die Hintergründe verstehen möchte.
     
  4. Till

    Till Administrator

    Die Felder haben nichts mit SNI zu tun. Das eine Feld ist für eine SSL CA and das andere für das CA Passwort. Es gibt durchaus Unternehmen die ISPConfig einsetzen und eine eigene SSL CA betrieben...

    Wenn Du vielleicht mal sagen würdest was genau nicht geht dann könnten wir hier versuchen Dir weiter zu helfen. Wie auf wikipedia beschrieben ist bei SNI vor allem auch der Browser wichtig und nicht nur die Server Software. Z.b. kann kein einziger IE unter WinXP SNI, selbst die aktuellsten Versionen nicht.

    Es gibte dafür keine spezifischen Logs. Es werden die normalen Logs des apache sowie die ssl logs verwendet.
     
  5. Pionier

    Pionier Member

    verstanden


    Mein Browser ist Firefox 19.0, SNI geht mit dem, habe ich unter https://www.sni.velox.ch/ getestet.


    Ich habe drei Webseiten eingerichtet, beide mit * als IPv4. Bei allen habe ich SSL eingerichtet. Beim aufruf der Seiten über https://... lande ich immer auf der ersten Seite (die in "/etc/apache2/sites-enabled" als erstes steht). Beim aufruf über http://... ist alles ok.

    eventuell hilt das weiter:
    Code:
    root@admin:~# service apache2 restart
    [....] Restarting web server: apache2[Wed Feb 20 15:58:44 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
    [Wed Feb 20 15:58:44 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
     ... waiting [Wed Feb 20 15:58:45 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
    [Wed Feb 20 15:58:45 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
    . ok
    
     
  6. Till

    Till Administrator

    Nimm mal die IP in beiden Seiten anstatt *.
     
  7. Pionier

    Pionier Member

    Außer
    Code:
    root@admin:~# service apache2 restart
    [ ok ] Restarting web server: apache2 ... waiting .
    
    keine Veränderung.
    Beim Aufruf über https://... lande ich immer auf der ersten Seite.



    Nehme alles zurück, nach der Änderung, die Till mir gesagt hat, und dem löschen des Browsercache scheint es zu gehen.
     
    Zuletzt bearbeitet: 20. Feb. 2013
  8. Till

    Till Administrator

    Dann lag es wahrscheinlich daran dass Du einen apache ssl defaul host angelegt hattest. Unter Debian und Ubuntu kannst Du ihn mit:

    a2dissite default-ssl

    deaktivieren.
     

Diese Seite empfehlen