SSL für Domain

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von power, 13. März 2012.

  1. power

    power New Member

    Hallo zusammen

    Ich hab mir Ispconfig3 auf einem Debian installiert und hab schon die erste Frage ;).

    Diese 2 erfundenen Domain möchte ich betreiben:
    bla.ch
    huhu.ch

    Ich möchte, dass jede Webseite für sich unter dem eigenen Benutzer läuft und in sein eigenes Verzeichnis eingesperrt ist. Dies habe ich schon eingerichtet und funktioniert.

    Ich möchte für die einzelnen Domains auch SSL, also https://bla.ch und https://huhu.ch. Das Zertifikat ist selbst signiert und beide Domains können von mir aus das gleiche Zertifikat verwenden (Hauptsache SSL).

    Wenn ich jetzt https://bla.ch aufrufe, dann sind Openbasedir und SuPHP nicht gesetzt, weil ja der default-ssl Virtualhost greifft, anstatt der Virtualhost für bla.ch.

    Mehrere Virtualhosts mit SSL kann ich auf dem Server nicht betreiben, da der Server nur eine IP hat.

    Die Konfiguration kann ich im default-ssl Virtualhost nicht setzen, da sonst die Konfiguration für alle Domains mit https gesetzt sind. Der Benutzer von bla.ch könnte in die Verzeichnisse des Benutzer für huhu.ch gucken.

    Wie kann ich die Konfiguration für Openbasedir und SuPHP für die einzelnen SSL Domains setzen, ohne das ich eine weitere IP benötige? (Das Zertifikat ist selbst signiert und darf für alle Domains das gleiche sein.)

    Macht ja keinen Sinn, den Server zu schützen mit Openbasedir und SuPHP und wenn man über https die Seite aufruft, ist alles offen ...
     
  2. Till

    Till Administrator

    Für ältere browser brauchst du eine ip pro ssl host, das ist im ssl protokoll definiert und hat nichts mit ispconfig zu tun. Mit neueren browsern kannst du sni nutzen, damit kann man beliebig viele webseiten mit ssl und einer ip nutzen. schau mal bei wikipedia unter sni navh, da steht drin welche browser und apache versionen notwendig sind. Den default ssl host kannst du übrigens deaktivieren, da dann der ssl vhost der webseite verwendet wird.
     
  3. power

    power New Member

    Hey danke Till.
    Hab grad SNI mit Apache ausprobiert, funktioniert 1A.

    Morgen muss ich nur noch einen Weg finden, dass Ispconfig3 beizubringen ;).
     
  4. Till

    Till Administrator

    Das geht standardmäßig wenn es Dein apache unterstützt, musst Du also nichts extra in ISPConfig einstellen.
     
  5. power

    power New Member

    Einen SSL Eintrag brauche ich aber noch für Ispconfig3 selbst. Zum Beispiel für den Eintrag https://meinserver.ch. In diesem Eintrag muss ich dann auch die Restriktionen machen mit Openbasedir und SuPHP für Ispconfig3 und für alles andere, was sonst noch über https://meinserver.ch/... erreichbar ist (z.B. MyPHPAdmin).

    Die Lösung mit SNI ist gut, aber wenn ein Besucher z.B. mit IE6 die Webseite über HTTPS ansurft, greiffen die Einstellungen für den VirtualHost (z.B. huhu.ch) nicht, da der Browser kein SNI unterstützt.

    Dann greifft der VirtualHost für https://meinserver.ch. Weshalb es sehr wichtig ist, dass dort Openbasedir und SuPHP richtig funktioniert.

    Aber das hat ja nichts mehr mit Ispconfig3 zu tun ;)
     
  6. Till

    Till Administrator

    ISPConfig läuft auf einem anderen Port,also z.B. 8080, daher kollidiert das SSL zertifikat des ISPConfig Interface nicht mit den Webseiten.

    das ist richtig, daher wird SNI bislang auch nicht so häufig eingesetzt. Für das "klassische" SSL baruchst Du eine separate IP pro SSL Vhost. Openbasedir und SuPHP wird ja von ISPConfig für jede Webseite getrennt konfiguriert, kannst Du also über das ISPConfig Interface in den Webseitenoptionen einstellen. Generell würde ich Dir aber von suphp abraten da es sehr langsam ist, eine bessere Alternative ist php.fcgi in Kombination mit suexec.
     

Diese Seite empfehlen