Re: ssl und mehrere Zertifikate
On Fri, Sep 14, 2007 at 02:27:25PM +0200, Sven Kobow wrote: > > um dieses Konstrukt umsetzen zu können. Ausserdem ist > > das SSL Protokoll so konzipiert, dass hier keine name base vhosts > Und genau deshalb ja die Virtuellen NICs, da braucht man KEINE name based > vhosts mehr, sondern kann direkt über die ip gehen! Das ist schon richtig. Nur: eben weil es sowenig IP-Adressen gibt, hat man HTTP/1.1 (HOST-Header im Kontext unseres Themas) erfunden. Technologisch wäre der Vorschlag eher ein Rückschritt - wiewohl natürlich machbar und problemlösend - für eben denjenigen, der genügend Adressen hat. Rainer -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
> Das setzt dann aber auch voraus, dass man mehr als eine öffentliche IP > Adresse bestitzt, Das stimmt natürlich! > um dieses Konstrukt umsetzen zu können. Ausserdem ist > das SSL Protokoll so konzipiert, dass hier keine name base vhosts Und genau deshalb ja die Virtuellen NICs, da braucht man KEINE name based vhosts mehr, sondern kann direkt über die ip gehen! > funktionieren. Ehe der Browser nämlich seine Anfrage an den Server > schicken kann ist schon eine mit dem Zertifikat signierte Verbindung > aufgebaut worden. > > > > Marcus > > -- > Apache HTTP Server Mailing List "users-de" > unsubscribe-Anfragen an [EMAIL PROTECTED] >sonstige Anfragen an [EMAIL PROTECTED] > -- -- Sven Kobow Universität Paderborn Sportmedizinisches Institut - Rechnerbetrieb Raum SP1-501 FON: +49 (05251) 60-3586 MAIL: [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part.
Re: ssl und mehrere Zertifikate
On Fri, Sep 14, 2007 at 11:13:21AM +0200, Sven Kobow wrote: > Servus, > > am einfachsten kann man die ganze Geschichte unter Linux mit virtuellen > Netzwerkdevices lösen. Einfach, sofern möglich natürlich, für jeden vhost ein > eigenes device einrichten (also dann eth0:1, eth0:2 usw.). Dann braucht man > keine NamebasedVirtualHost, sondern kann jedem vhost eine eigene ip geben. > Dann läufts! Hab ich auch so gemacht. > Das setzt dann aber auch voraus, dass man mehr als eine öffentliche IP Adresse bestitzt, um dieses Konstrukt umsetzen zu können. Ausserdem ist das SSL Protokoll so konzipiert, dass hier keine name base vhosts funktionieren. Ehe der Browser nämlich seine Anfrage an den Server schicken kann ist schon eine mit dem Zertifikat signierte Verbindung aufgebaut worden. Marcus -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Servus, am einfachsten kann man die ganze Geschichte unter Linux mit virtuellen Netzwerkdevices lösen. Einfach, sofern möglich natürlich, für jeden vhost ein eigenes device einrichten (also dann eth0:1, eth0:2 usw.). Dann braucht man keine NamebasedVirtualHost, sondern kann jedem vhost eine eigene ip geben. Dann läufts! Hab ich auch so gemacht. Gruß Sven > On 13.09.2007, at 13:38, Lars Eilebrecht wrote: > > Daniel Schulz wrote: > >> Jetzt ist der Groschen gefallen. OK, das geht so also nicht. Aber > >> eine > >> Alternative wäre doch, einen Host ssl.domain.de anzulegen und dann > >> darüber alles verschlüsselte laufen zu lassen. Also dass > >> > >> webmail.domain.de > >> > >> eine Umleitung auf > >> > >> ssl.domain.de/webmail ist > >> > >> und dann müßte das doch auch noch mit dl.domain.de genau so > >> funktionieren, oder gibts da auch einen Haken? > > > > Vom Prinzip her geht das. Wenn allerdings ein https-Zugriff > > auf einen anderen Host als ssl.domain.de erfolgt, dann gibt der > > Browser ein Warning aus, dass der Hostname nicht zum Namen des > > Zertifikates passt. > > Der Vollständigkeit halber seien noch sog. Wildcard-Certs erwähnt, > also z.B. ein Cert für *.example.com - so lässt sich die 1-IP-pro-SSL- > VHost-Restriktion auch elegant lösen... > > Cheers, > Erik > > > -- > Apache HTTP Server Mailing List "users-de" > unsubscribe-Anfragen an [EMAIL PROTECTED] >sonstige Anfragen an [EMAIL PROTECTED] > -- -- Sven Kobow Universität Paderborn Sportmedizinisches Institut - Rechnerbetrieb Raum SP1-501 FON: +49 (05251) 60-3586 MAIL: [EMAIL PROTECTED] signature.asc Description: This is a digitally signed message part.
Re: ssl und mehrere Zertifikate
On 13.09.2007, at 13:38, Lars Eilebrecht wrote: Daniel Schulz wrote: Jetzt ist der Groschen gefallen. OK, das geht so also nicht. Aber eine Alternative wäre doch, einen Host ssl.domain.de anzulegen und dann darüber alles verschlüsselte laufen zu lassen. Also dass webmail.domain.de eine Umleitung auf ssl.domain.de/webmail ist und dann müßte das doch auch noch mit dl.domain.de genau so funktionieren, oder gibts da auch einen Haken? Vom Prinzip her geht das. Wenn allerdings ein https-Zugriff auf einen anderen Host als ssl.domain.de erfolgt, dann gibt der Browser ein Warning aus, dass der Hostname nicht zum Namen des Zertifikates passt. Der Vollständigkeit halber seien noch sog. Wildcard-Certs erwähnt, also z.B. ein Cert für *.example.com - so lässt sich die 1-IP-pro-SSL- VHost-Restriktion auch elegant lösen... Cheers, Erik -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
On Thu, Sep 13, 2007 at 03:03:18PM +0200, Daniel Schulz wrote: > > ServerName dl.domain.de > ServerAlias www.dl.domain.de > ServerAdmin [EMAIL PROTECTED] > Redirect / https://ssl.domain.de/dl Hier würde ich RedirectMatchPermanent nehmen. Ist aber eher eine Geschmacksfage. > Wenn man also auf dl.domain.de geht wird man automatisch auf > > https://ssl.domain.de/dl/ So mache ich das auch. Mußt halt drauf achten, daß Du auf ssl.domain.de/dl/ nur relative Links hast. Rainer -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Daniel Schulz schrieb: Hallo Ihr, Rainer Sokoll <[EMAIL PROTECTED]> schrieb: SSL kennt keine Host-Header. Folglich kann der Apache nicht wissen, mit welchem vhost der Client verschlüsseln möchte. Der arme kleine Indianer in all seiner Freundlichkeit nimmt also das erste Zertifikat, das er finden kann. Der einzig saubere Ausweg: TLS. Dummerweise gibt es (m.W.) keine Browser, die TLS beherrschen... Jetzt ist der Groschen gefallen. OK, das geht so also nicht. Aber eine Alternative wäre doch, einen Host ssl.domain.de anzulegen und dann darüber alles verschlüsselte laufen zu lassen. Also dass webmail.domain.de eine Umleitung auf ssl.domain.de/webmail ist Der SSL "Support" von Strato fuer die normalen Pakete ist auf diese Weise realisiert. Der Apache wird dann hier als ReverseProxy eingesetzt zusammen mit mod_rewrite. https://ssl.example.com/www.example.com/ und dann müßte das doch auch noch mit dl.domain.de genau so funktionieren, oder gibts da auch einen Haken? Der Haken ist das deine HMTL Seiten relative Links und SRC Urls benutzen duerfen und keine absolute Adressierung. Gruss Joerg Behrens -- TakeNet GmbH,Geschaeftsfuehrer Wolfgang Meier 97080 Wuerzburg Tel: +49 931 903-2243 Alfred-Nobel-Straße 20 Fax: +49 931 903-3025 HRB Wuerzburg 6940 http://www.takenet.de -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Daniel Schulz <[EMAIL PROTECTED]> schrieb: > Aber wie bekomme ich den Apache jetzt dazu, zB. im Unterordner webmail > ssl zu benutzen? So, das klappt jetzt. Habe es wie folgt gelöst: ServerName dl.domain.de ServerAlias www.dl.domain.de ServerAdmin [EMAIL PROTECTED] Redirect / https://ssl.domain.de/dl ServerName ssl.domain.de ServerAdmin [EMAIL PROTECTED] DocumentRoot /var/www/ssl.domain.de/ SSLEngine On SSLCertificateFile /etc/ssl/private/domain.de/ssl.domain.de.crt SSLCertificateKeyFile /etc/ssl/private/domain.de/ssl.domain.de.key Wenn man also auf dl.domain.de geht wird man automatisch auf https://ssl.domain.de/dl/ weitergeleitet. Jetzt kommt noch webmail dran. Herzlichen Dank für Euren Beistand und Hilfe :) Daniel -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Lars Eilebrecht <[EMAIL PROTECTED]> schrieb: > > und dann müßte das doch auch noch mit dl.domain.de genau so > > funktionieren, oder gibts da auch einen Haken? > > Vom Prinzip her geht das. Wenn allerdings ein https-Zugriff > auf einen anderen Host als ssl.domain.de erfolgt, dann gibt der > Browser ein Warning aus, dass der Hostname nicht zum Namen des > Zertifikates passt. Ja, diese Warnung möchte ich umgehen, die nervt mit der Zeit. Nur jetzt wo ich das so einrichten möchte frage ich mich, wie das gehen soll. Mein Anfang sieht so aus: ServerName ssl.domain.de ServerAdmin [EMAIL PROTECTED] DocumentRoot /var/www/ssl.domain.de/ Aber wie bekomme ich den Apache jetzt dazu, zB. im Unterordner webmail ssl zu benutzen? > Die Aussage von Rainer, dass es keine Browser gibt die TLS beherschen > ist falsch. Mittlerweile wird TLS eigentlich von jedem Browser und > Web-Server unterstützt der Support für https hat. > > http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol > > Umgangssprachlich spricht man in den meisten Fällen immer von SSL, > obwohl man eigentlich TLS meint. > > Apache ab Version 2.1 unterstützt auch RFC 2817 (Upgrading to > TLS Within HTTP/1.1) was ebenfallls SSL-Virtual-Hosting auf einer > IP ermöglichen würde, aber das unterstützt noch kein Browser. Schade dass das so lange dauert bis das unterstützt wird. Würde doch einiges an Arbeit sparen und die Administration vereinfachen. Daniel -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Daniel Schulz wrote: > Jetzt ist der Groschen gefallen. OK, das geht so also nicht. Aber eine > Alternative wäre doch, einen Host ssl.domain.de anzulegen und dann > darüber alles verschlüsselte laufen zu lassen. Also dass > > webmail.domain.de > > eine Umleitung auf > > ssl.domain.de/webmail ist > > und dann müßte das doch auch noch mit dl.domain.de genau so > funktionieren, oder gibts da auch einen Haken? Vom Prinzip her geht das. Wenn allerdings ein https-Zugriff auf einen anderen Host als ssl.domain.de erfolgt, dann gibt der Browser ein Warning aus, dass der Hostname nicht zum Namen des Zertifikates passt. > Warum wird eigentlich TLS im Apache nicht verwendet? Warum ist da die > Entwicklung so langsam? TLS ist doch nun mal der Nachfolger von SSL und > viele andere Programme setzen TLS ja schon seit längerem ein? Versteh > nicht was da der Hinderungsgrund ist, auch bei den Browserherstellern. Die Aussage von Rainer, dass es keine Browser gibt die TLS beherschen ist falsch. Mittlerweile wird TLS eigentlich von jedem Browser und Web-Server unterstützt der Support für https hat. http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol Umgangssprachlich spricht man in den meisten Fällen immer von SSL, obwohl man eigentlich TLS meint. Apache ab Version 2.1 unterstützt auch RFC 2817 (Upgrading to TLS Within HTTP/1.1) was ebenfallls SSL-Virtual-Hosting auf einer IP ermöglichen würde, aber das unterstützt noch kein Browser. ciao... -- Lars Eilebrecht [EMAIL PROTECTED] -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Hallo Ihr, Rainer Sokoll <[EMAIL PROTECTED]> schrieb: > SSL kennt keine Host-Header. > Folglich kann der Apache nicht wissen, mit welchem vhost der Client > verschlüsseln möchte. Der arme kleine Indianer in all seiner > Freundlichkeit nimmt also das erste Zertifikat, das er finden kann. > Der einzig saubere Ausweg: TLS. Dummerweise gibt es (m.W.) keine > Browser, die TLS beherrschen... Jetzt ist der Groschen gefallen. OK, das geht so also nicht. Aber eine Alternative wäre doch, einen Host ssl.domain.de anzulegen und dann darüber alles verschlüsselte laufen zu lassen. Also dass webmail.domain.de eine Umleitung auf ssl.domain.de/webmail ist und dann müßte das doch auch noch mit dl.domain.de genau so funktionieren, oder gibts da auch einen Haken? Warum wird eigentlich TLS im Apache nicht verwendet? Warum ist da die Entwicklung so langsam? TLS ist doch nun mal der Nachfolger von SSL und viele andere Programme setzen TLS ja schon seit längerem ein? Versteh nicht was da der Hinderungsgrund ist, auch bei den Browserherstellern. Daniel -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
On Thu, Sep 13, 2007 at 12:55:01PM +0200, Bjoern Hoehrmann wrote: > * Rainer Sokoll wrote: > >Der einzig saubere Ausweg: TLS. Dummerweise gibt es (m.W.) keine > >Browser, die TLS beherrschen... > > Die gibt es durchaus, allerdings ist Server Name Indication nicht > Teil des Standards, sondern eine Erweiterung (siehe RFC 4366). Das > wird angeblich von Opera 8+, Firefox 2+, und IE7 unter Vista unter- > stützt. Oh, wunderbar, das wußte ich nicht. Gibts da auch schon ein Kochrezpt für Apache+openssl? Rainer -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
* Rainer Sokoll wrote: >Folglich kann der Apache nicht wissen, mit welchem vhost der Client >verschlüsseln möchte. Der arme kleine Indianer in all seiner >Freundlichkeit nimmt also das erste Zertifikat, das er finden kann. >Der einzig saubere Ausweg: TLS. Dummerweise gibt es (m.W.) keine >Browser, die TLS beherrschen... Die gibt es durchaus, allerdings ist Server Name Indication nicht Teil des Standards, sondern eine Erweiterung (siehe RFC 4366). Das wird angeblich von Opera 8+, Firefox 2+, und IE7 unter Vista unter- stützt. -- Björn Höhrmann · mailto:[EMAIL PROTECTED] · http://bjoern.hoehrmann.de Weinh. Str. 22 · Telefon: +49(0)621/4309674 · http://www.bjoernsworld.de 68309 Mannheim · PGP Pub. KeyID: 0xA4357E78 · http://www.websitedev.de/ -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
* Daniel Schulz wrote: >Eigentlich dachte ich, dass man nur ein einziges Cert nicht für mehrere >Subdomains >nehmen kann, aber wenn man für jede Domain ein neues Cert erstellt müßte das >doch >tun, oder? Sollte das nicht gehen, wie konfiguriert Ihr das? Was ist der beste >Weg? Wenn die SSL-Verbindung aufgebaut wird, teilt der Browser dem Server gar nicht mit, mit welchem benannten Host er jetzt sprechen will, er spricht ihn nur über dessen IP-Adresse an. Folglich kann das nur funktionieren, wenn die beiden Namen auf unterschiedliche IP-Adressen verweisen, siehe http://de.wikipedia.org/wiki/Transport_Layer_Security#SSL_in_der_Praxis http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#vhosts und so weiter. -- Björn Höhrmann · mailto:[EMAIL PROTECTED] · http://bjoern.hoehrmann.de Weinh. Str. 22 · Telefon: +49(0)621/4309674 · http://www.bjoernsworld.de 68309 Mannheim · PGP Pub. KeyID: 0xA4357E78 · http://www.websitedev.de/ -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
On Thu, Sep 13, 2007 at 12:28:46PM +0200, Daniel Schulz wrote: > Hallo, > > ich versuche gerade, die zweite Subdomain mit SSL laufen zu lassen. > Erste Subdomain (webmail.domain.de) läuft seit längerem prima mit einem > self signed cert. Jetzt wird aber noch "dl.domain.de" benötigt, was soweit > auch läuft. Nur benutzt der Apache bei der neuen Subdomain immer das > Zertifikat von der ersten, ich verstehe nicht warum. SSL kennt keine Host-Header. Folglich kann der Apache nicht wissen, mit welchem vhost der Client verschlüsseln möchte. Der arme kleine Indianer in all seiner Freundlichkeit nimmt also das erste Zertifikat, das er finden kann. Der einzig saubere Ausweg: TLS. Dummerweise gibt es (m.W.) keine Browser, die TLS beherrschen... Rainer -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
Re: ssl und mehrere Zertifikate
Daniel Schulz wrote: > Eigentlich dachte ich, dass man nur ein einziges Cert nicht für mehrere > Subdomains > nehmen kann, aber wenn man für jede Domain ein neues Cert erstellt müßte das > doch > tun, oder? Sollte das nicht gehen, wie konfiguriert Ihr das? Was ist der > beste Weg? > > Hat jemand eine Idee, was schief liegt? Ich vermute mal Du machst name-based virtual hosting (alle vhosts haben selbe IP), aber das funktioniert bzgl. SSL nicht mit unterschiedlichen Zertifikaten. Entweder musst Du unterschiedliche IPs oder unterschiedliche Portnummern nehmen. http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#vhosts ciao... -- Lars Eilebrecht [EMAIL PROTECTED] -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --
ssl und mehrere Zertifikate
Hallo, ich versuche gerade, die zweite Subdomain mit SSL laufen zu lassen. Erste Subdomain (webmail.domain.de) läuft seit längerem prima mit einem self signed cert. Jetzt wird aber noch "dl.domain.de" benötigt, was soweit auch läuft. Nur benutzt der Apache bei der neuen Subdomain immer das Zertifikat von der ersten, ich verstehe nicht warum. Zweite Subdomain ist wie folgt konfiguriert: ServerName dl.domain.de ServerAlias www.dl.domain.de ServerAdmin [EMAIL PROTECTED] Redirect / https://dl.domain.de ServerName dl.domain.de DocumentRoot /var/www/domain.de/dl/ SSLEngine On SSLCertificateFile /etc/ssl/private/domain.de/new.cert.cert SSLCertificateKeyFile /etc/ssl/private/domain.de/new.cert.key ErrorLog /var/log/apache2/domain.de/domain.de.error.log CustomLog /var/log/apache2/domain.de/domain.de.access.log combined Die erste Subdomain ist genau so konfiguriert. Die Zertifikate wurden wie folgt erstellt: openssl req -new -x509 -days 1460 -nodes -out new.cert.cert -keyout new.cert.key Der "Common Name" ist definitiv die richtige Domain, ich hab das Cert jetzt drei mal neu erstellt, es bleibt immer das selbe, der Apache benutzt das falsche Zertifikat und mosert beim abfragen der Seite entsprechend rum. Eigentlich dachte ich, dass man nur ein einziges Cert nicht für mehrere Subdomains nehmen kann, aber wenn man für jede Domain ein neues Cert erstellt müßte das doch tun, oder? Sollte das nicht gehen, wie konfiguriert Ihr das? Was ist der beste Weg? Hat jemand eine Idee, was schief liegt? Daniel -- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --