SSL für Domain

power

New Member
Hallo zusammen

Ich hab mir Ispconfig3 auf einem Debian installiert und hab schon die erste Frage ;).

Diese 2 erfundenen Domain möchte ich betreiben:
bla.ch
huhu.ch

Ich möchte, dass jede Webseite für sich unter dem eigenen Benutzer läuft und in sein eigenes Verzeichnis eingesperrt ist. Dies habe ich schon eingerichtet und funktioniert.

Ich möchte für die einzelnen Domains auch SSL, also https://bla.ch und https://huhu.ch. Das Zertifikat ist selbst signiert und beide Domains können von mir aus das gleiche Zertifikat verwenden (Hauptsache SSL).

Wenn ich jetzt https://bla.ch aufrufe, dann sind Openbasedir und SuPHP nicht gesetzt, weil ja der default-ssl Virtualhost greifft, anstatt der Virtualhost für bla.ch.

Mehrere Virtualhosts mit SSL kann ich auf dem Server nicht betreiben, da der Server nur eine IP hat.

Die Konfiguration kann ich im default-ssl Virtualhost nicht setzen, da sonst die Konfiguration für alle Domains mit https gesetzt sind. Der Benutzer von bla.ch könnte in die Verzeichnisse des Benutzer für huhu.ch gucken.

Wie kann ich die Konfiguration für Openbasedir und SuPHP für die einzelnen SSL Domains setzen, ohne das ich eine weitere IP benötige? (Das Zertifikat ist selbst signiert und darf für alle Domains das gleiche sein.)

Macht ja keinen Sinn, den Server zu schützen mit Openbasedir und SuPHP und wenn man über https die Seite aufruft, ist alles offen ...
 

Till

Administrator
Für ältere browser brauchst du eine ip pro ssl host, das ist im ssl protokoll definiert und hat nichts mit ispconfig zu tun. Mit neueren browsern kannst du sni nutzen, damit kann man beliebig viele webseiten mit ssl und einer ip nutzen. schau mal bei wikipedia unter sni navh, da steht drin welche browser und apache versionen notwendig sind. Den default ssl host kannst du übrigens deaktivieren, da dann der ssl vhost der webseite verwendet wird.
 

power

New Member
Hey danke Till.
Hab grad SNI mit Apache ausprobiert, funktioniert 1A.

Morgen muss ich nur noch einen Weg finden, dass Ispconfig3 beizubringen ;).
 

power

New Member
Den default ssl host kannst du übrigens deaktivieren, da dann der ssl vhost der webseite verwendet wird.
Einen SSL Eintrag brauche ich aber noch für Ispconfig3 selbst. Zum Beispiel für den Eintrag https://meinserver.ch. In diesem Eintrag muss ich dann auch die Restriktionen machen mit Openbasedir und SuPHP für Ispconfig3 und für alles andere, was sonst noch über https://meinserver.ch/... erreichbar ist (z.B. MyPHPAdmin).

Die Lösung mit SNI ist gut, aber wenn ein Besucher z.B. mit IE6 die Webseite über HTTPS ansurft, greiffen die Einstellungen für den VirtualHost (z.B. huhu.ch) nicht, da der Browser kein SNI unterstützt.

Dann greifft der VirtualHost für https://meinserver.ch. Weshalb es sehr wichtig ist, dass dort Openbasedir und SuPHP richtig funktioniert.

Aber das hat ja nichts mehr mit Ispconfig3 zu tun ;)
 

Till

Administrator
Einen SSL Eintrag brauche ich aber noch für Ispconfig3 selbst.

ISPConfig läuft auf einem anderen Port,also z.B. 8080, daher kollidiert das SSL zertifikat des ISPConfig Interface nicht mit den Webseiten.

Die Lösung mit SNI ist gut, aber wenn ein Besucher z.B. mit IE6 die Webseite über HTTPS ansurft, greiffen die Einstellungen für den VirtualHost (z.B. huhu.ch) nicht, da der Browser kein SNI unterstützt.

das ist richtig, daher wird SNI bislang auch nicht so häufig eingesetzt. Für das "klassische" SSL baruchst Du eine separate IP pro SSL Vhost. Openbasedir und SuPHP wird ja von ISPConfig für jede Webseite getrennt konfiguriert, kannst Du also über das ISPConfig Interface in den Webseitenoptionen einstellen. Generell würde ich Dir aber von suphp abraten da es sehr langsam ist, eine bessere Alternative ist php.fcgi in Kombination mit suexec.
 

Werbung

Top