SSL Wildcard eine IP

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von mare, 25. Okt. 2011.

  1. mare

    mare Member

    Hallo,

    Ich habe ein Wildcardzertifikat für ein Projekt. Jede Instanz bekommt ein eigenes web mit suexec um die Rechte sauber zu halten.

    Ich hatte gedacht ich kann jetzt einfach das Zerti reinnehmen auf ssl stellen und alles ist gut. Aber er springt immer nur auf die erste Instanz. Die anderen sind nicht erreichbar.

    Eine Möglichkeit die mir noch einfallen würde wäre ein SSL Proxy und die Instanzen als Verzeichnis abzubilden. Aber die Darstellung mit der Subdomain gefällt mir besser.

    Gibt es eine Möglichkeit das mit einer IP abzuwicklen oder muß ich wirklich für jede Instanz eine separate IP opfern?

    /lg mare
     
  2. nowayback

    nowayback Well-Known Member

    Moinsen,

    soweit ich weiß sind Wildcard SSL Zertifikate für die Domain also *.example.com

    Mit der IP hat das gar nichts zutun.

    In der Theorie legst du im Apache den Virtualhost *.example.com an und fügst dort das Zertifikat an und stellst SSL Engine auf On.
    Danach legst du die einzelnen Subdomains als weitere Virtualhosts an.
    Das Zertifikat nimmt der Apache dann von *.example.com.

    Hoffe ich konnte helfen

    Grüße
    nwb
     
  3. mare

    mare Member

    Ich glaube das wird leider nichts.

    Ein Multidomain oder Wildcard Zert mehrfach zu verwenden ist ja kein Problem. Aber wahrscheinlich nicht mit einer IP :-(

    Der geht immer auf den ersten Host der auf die IP matcht.
    Wenn ich den ersten Host deaktiviere komt beim aufruf von einer subdomain aus *.domain.tld der zweite aber auch auf allen Namen.

    Somit scheint wohl wirklich eine IP pro SSL notwendig zu sein :-(
     
    Zuletzt bearbeitet: 26. Okt. 2011
  4. nowayback

    nowayback Well-Known Member

    Das ist falsch!

    Ich habe einige Server in einer ähnlichen Konfiguration laufen, nur halt ohne ISP Config, da ich dieses erstmal ausführlich testen will.

    Beispiel *.vhost

    Code:
    NameVirtualHost 127.0.0.1:443
    
    # Default-Host
    <VirtualHost 127.0.0.1:443>
      ServerName *.example.com
      DocumentRoot /var/www/default
      <IfModule mod_ssl.c>
        SSLEngine on
        SSLCertificateKeyFile /etc/ssl.key/example.com.key
        SSLCertificateFile /etc/ssl.crt/example.com.crt
      </IfModule>
    </VirtualHost>
    
    # Subdomain. SSL durch den Default Host aktiviert.
    <VirtualHost 127.0.0.1:443>
      ServerName subdomain1.example.com
      DocumentRoot /var/www/subdomain1
    </VirtualHost>
    Funktioniert so bei mir, ohne separate IP's - Original IP ersetzt durch die localhost IP ;)

    Sollte ich dich falsch verstanden haben, lass es mich bitte wissen

    Grüße
    nwb
     
  5. mare

    mare Member

    Hallo,

    Du hast recht. So funktioniert es.

    Nach ein paar Umbauten am vhost template und den Symlinks der Hosts klappt es auch mit ISPC.

    Kannst du mal bitte bei dir testen, was die PHP Variable $_SERVER["SERVER_PORT"] bei einem Subhost ausgibt?

    Bei mir steht da bei dem "Masterhost" 443 drin. Aber bei den untergeordneten Hosts komischer Weise 80.

    Wireshark hat aber schon bestätigt, das die Verbindungen über https also 443 abgewickelt werden.

    Warum in der phpinfo jetzt dort Port 80 steht kann ich mir nicht erklären.



    EDIT:
    Es lag am Apache.
    Wenn man in dem vhost nochmal

    SSLEngine on
    SSLCertificateKeyFile /etc/ssl.key/example.com.key
    SSLCertificateFile /etc/ssl.crt/example.com.crt

    einträgt steht auch in der Umgebungsvariable Port 443 drin.
    Die Einträge sind dann zwar doppelt aber es kommt keine Fehlermeldung und alles funktioniert.
     
    Zuletzt bearbeitet: 27. Okt. 2011

Diese Seite empfehlen