wie SSL vom anderen vhost verhindern?

[sgf]

Moin, meine ISPC Version ist 3.1.6 auf CentOS 7.3.1611
ich habe folgendes Problem: Auf ISPC sind vier Klienten mit jeweils eigenen Webseiten eingetragenen. Ein Klient hat für seine Webseite ein SSL-Certificate und kann seine Webseiten auch über https erreichen, soweit alles gut. Allerdings können auch die anderen Klienten ihre eigene Webseite mit ssh aufrufen und bekommen dann das SSL-Certificate des anderen Klienten angeboten, wie kann ich das verhindern?

 

[Till]

Da gibt es 2 Möglichkeiten:

1) SSL Für alle Kunden aktivieren.
2) Eine andere IP für Webseiten mit SSL verwenden.

 

[sgf]

Da gibt es 2 Möglichkeiten:

1) SSL Für alle Kunden aktivieren.
2) Eine andere IP für Webseiten mit SSL verwenden.

Hmm, eine weitere IP steht im Moment nicht zur verfügung, ich habe für alle Kunden SSL aktiviert, aber eine Veränderung kann ich nicht erkennen, muss ich noch etwas berücksichtigen?

 

[Till]

Haben denn alle SSL Zertifikate hinterlegt bzw. Letsencrypt aktiviert?

 

[sgf]

Haben denn alle SSL Zertifikate hinterlegt bzw. Letsencrypt aktiviert?

OK. das hatte ich nicht, jetzt ist alles gut, Danke.

 

[FaceQuest]

Bevor ich jetzt einen neuen Thread aufmache - vielleicht ist mein Problem das gleiche.
Ich habe einen Server (mit einer IP) und mehrere Domains (20 Stück). Ich habe für zwei Domains (xxx.net) und (xxx.org) ein SSL-Zertifikat erstellt. Beide Domains haben auch noch Subdomains. Wenn ich die (xxx.net) aufrufe, kommt ein Fehler, dass das Zertifikat ungültig sei. Wenn ich mehrmals den Browser aktualisiere, ist das Zertifikat plötzlich gültig.
Wenn ich das Zertifikat von extern überprüfen lasse, ist es bei der xxx.org okay. Bei der xxx.net werden mir ALLE Zertifikate angezeigt; dadurch kommt vermutlich der Fehler. Muss ich jetzt für alle 20 Domains SSL aktivieren, obwohl diese gar kein SSL nutzen??

 

[HSorgYves]

1) Jeder sollte SSL nutzen wenn möglich!
2) Die Domainnamen würden beim Helfen einen besseren Einblick geben, weil man sich die Konfiguration anschauen kann...

 

[FaceQuest]

Ich habe gerade testweise alle Domains mit SSL versehen. Trotzdem war der gleiche Fehler. Die Hauptdomain lautet facequest.net und die zweite Domain lautet facequest.org. Habe jetzt bei facequest.org schon SSL deaktiviert und die Keys gelöscht. Der Fehler auf der facequest.net ist immer noch da.

 

[HSorgYves]

Was steht in dem vhost der Domain xxx.net drin?

 

[FaceQuest]

        <IfModule mod_ssl.c>
            SSLEngine on
            SSLProtocol All -SSLv2 -SSLv3
            # SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
            SSLHonorCipherOrder     on
            # <IfModule mod_headers.c>
            # Header always add Strict-Transport-Security "max-age=15768000"
            # </IfModule>
            SSLCertificateFile /var/www/clients/client1/web27/ssl/facequest.net-le.crt
            SSLCertificateKeyFile /var/www/clients/client1/web27/ssl/facequest.net-le.key
            SSLCertificateChainFile /var/www/clients/client1/web27/ssl/facequest.net-le.bundle
            SSLUseStapling on
            SSLStaplingResponderTimeout 5
            SSLStaplingReturnResponderErrors off
        </IfModule>

 

[HSorgYves]

Hast Du überprüft, dass in den .crt/key/bundle jeweils nur 1 cert/key/cert drin ist? Hast Du Apache neu gestartet?

 

[FaceQuest]

Also im facequest.net-le.crt gibt es zwei Blöcke mit ---BEGIN--- und ---END---. Apache habe ich schon mehrfach neu gestartet.

 

[HSorgYves]

Dort sollte es nur einen geben soviel ich weiss. Mache einmal eine Kopie und löschen einen, notfalls restore und lösche den anderen. Geht es jetzt?

 

[FaceQuest]

Nein, leider keine Änderung. Das komische ist ja, wenn ich den Browser refreshe, dann kommt ein gültiges Zertifikat. Ich glaube, ich werde mal alle Domains löschen, dann nur eine anlegen und schauen, woher der Server immer noch das Zertifikat für die bereits gelöschte xxx.org herholt.

 

[nowayback]

Ich habe jetzt mal deine Zertifikate gecheckt. Das .org Cert ist ok, beim .net Cert steht ein Teil vom .org Cert drin. Da ist wohl völlig was schiefgelaufen. Das .net Cert würde ich komplett wegschmeißen und neu ausstellen lassen.

Wenn das geklappt hat, dann nochmal nachprüfen. !TIPP! Chrome bekommt den Wechsel eines Zertifikats oft nicht mit wenn er offen bleibt. Hier hilft es den Browser auch mal zu schließen und nicht nur den Tab. Alternativ: andere Browser oderInkognito Modus versuchen, oder externe Seiten wie ssllabs.com

Grüße
nwb