Re: Apache2, SSL, Zertifika t für virtual host
Hallo Jan, * Jan Kohnert [EMAIL PROTECTED] [21-06-05 03:14]: Bei mir läuft NameVirtualHost mit SSL prima. hm, das ist mir neu, werde ich aber dann auf jeden Fall mal ausprobieren. Machen die Browser kein reverse lookup? -- Gruss Matthias Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. -- Rich Cook pgp5G3FH5LJ50.pgp Description: PGP signature
Re: Apache2, SSL, Zertifika t für virtual host
On Tue, Jun 21, 2005 at 03:14:05AM +0200, Jan Kohnert wrote: Matthias Fechner schrieb: Hallo Joerg, eine IP kann bei SSL nur einen Hostnamen haben - virtualhost im hostnamen ist mit SSL nicht möglich. ??? Bei mir läuft NameVirtualHost mit SSL prima. Unwahrscheinlich. cu ulf -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache2, SSL, Zertifika t für virtual host
Am 2005-06-21 09:23:03, schrieb Matthias Fechner: Hallo Jan, * Jan Kohnert [EMAIL PROTECTED] [21-06-05 03:14]: Bei mir läuft NameVirtualHost mit SSL prima. hm, das ist mir neu, werde ich aber dann auf jeden Fall mal ausprobieren. Machen die Browser kein reverse lookup? Sie machen und das ist, warum es nicht geht. Die Verwendung von Wild-Card Zertifikaten ist aus sicherheitsgründen, auch wenn Apache2 es unterstützt. Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Apache2, SSL, Zertifika t für virtual host
Am 2005-06-21 03:31:03, schrieb Jan Kohnert: Jan Kohnert schrieb: Du mußt also *ein* Zertifikat mit domain.foo bauen. (Natürlich für jeden VHost.) Wobei mir grad auffällt: Es gibt auch die Möglichkeit, ein Zertifikat für eine Domain zu erstellen (macht z.B. web.de) Das ist dann gültig für *.domain.foo Das könnte dich evtl. interessieren, falls deine VHosts blah1.domain.foo, blah2.domain.foo usw. heißen... Und Hacker haben ihre freude damit... Es wird abgeraten Wildcard-Certificate zu nehmen. MfG Jan Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Apache2, SSL, Zertifika t für virtual host
Am 2005-06-21 12:09:16, schrieb Markus Schulz: Am Dienstag, 21. Juni 2005 10:11 schrieb Michelle Konzack: Und Hacker haben ihre freude damit... Es wird abgeraten Wildcard-Certificate zu nehmen. könntest du das bitte näher ausführen oder einen entsprechenden Link liefern? Ist schon en weile her... Ich hatte auf users@httpd.apache.org und ein paar Foren gepostet und dort sagte man mir, das Hacker FQDN Spoofen können und dann vorgeben von Deiner Domain zu kommen. Sprich, wenn Du ein Wildcard-Certificat hast, würde es einem normalen $USER nicht auffallen, wenn er auf einem gespooften Host mit nem anderen Certificat ist. Markus Schulz Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Apache2, SSL, Zertifika t für virtual host
Am 2005-06-21 15:05:55, schrieb Joerg Rossdeutscher: Hallo, erstmal vielen Dank für eure zahlreichen Mails. Ne. Noch langsamer. :-) Ich habe völlig unterschiedliche Domains - also nicht bloss *.example.com, sondern auch beispiel.foo, testing.bar, ... Die anderen Mails hier besagen: Geht nicht. Ich brauche mehr IPs. Du sagst: Ich muss ein Zertifikat pro vhost bauen. Entweder: 1) Ein Cert pro VHost/IP oder 2) Ein Wildcard-Cert pro Domain/IP, welches dann für alle VHosts gültig ist, aber nicht ein Cert für mehrere Domains. Du benötigst für JEDE Domain, die SSL verwendet mindestens eine IP-Adresse und ein Certificat. Gruß+Danke, Ratti Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Apache2, SSL, Zertifika t für virtual host
Hallo Joerg, * Joerg Rossdeutscher [EMAIL PROTECTED] [20-06-05 23:36]: Die Infos im Netz sind leider widersprüchlich, zwischen Das geht nicht und Klar geht das (Aber ohne Angabe, wie es denn geht). Bitte langsam. Das ist mein erster Gehversuch mit SSL. :-) also, hier nochmal ausführlich: Es geht nicht, da: Wenn du mit normalen virtuellen Einträgen arbeitest, passiert folgendes: - Client baut verbindung zu ip auf - client sagt, ich will die Seite für diesen Hostnamen - apache schaut in virtualhost nach und liefert entsprechen aus Bei SSL: - Client baut Verbindung zu IP auf und prüft das Zertifikat (stimmt der Hostname mit dem Zertifikat überein), wenn du hier auf einen anderen Hostnamen verbindest, lehnt dein Browser das ab, da es mit dem Zertifikat nicht passt. - bei nicht SSL würde der Brwoser jetzt sagen, ich will die HP für diesen Domainnamen, was bei SSL nicht geht, da der Hostname mit dem Zertifikat feststeht. - apache liefert nun seite mit diesem hostnamen aus Bei SSL kann der Browser dem Webserver nicht sagen, er will die Seite haben, sondern bekommt die Seite, die an der IP hängt. Aus diesem Grund ist Name-based Virtual Hosts nicht möglich, sondern nur IP-based Virtual Hosts, d.h. du braucht für jede https Verbindung eine eigene IP Adresse. Mehrer IP Adressen kann man ohne Probleme als Alias auf die Netzwerkkarte hängen. Ich weiss jetzt nicht genau, wie es unter Linux ist, sollte aber in der Art eth0:0, eth0:1, ... sein. -- Gruss Matthias Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. -- Rich Cook pgp9p4n50Zrzj.pgp Description: PGP signature
Re: Apache2, SSL, Zertifika t für virtual host
Hallo Joerg, * Joerg Rossdeutscher [EMAIL PROTECTED] [20-06-05 23:36]: Bitte langsam. Das ist mein erster Gehversuch mit SSL. :-) eine IP kann bei SSL nur einen Hostnamen haben - virtualhost im hostnamen ist mit SSL nicht möglich. -- Gruss Matthias Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. -- Rich Cook pgpAG2vFbvTcn.pgp Description: PGP signature
