You are viewing a plain text version of this content. The canonical link for it is here.

Posted to users-de@httpd.apache.org by Andreas Meyer <an...@anup.de> on 2007/05/22 18:50:41 UTC

Problem mit virtuellen hosts und SSL

Hallo!

Ich betreibe hier einen Webserver mit
# httpd -v
Server version: Apache/1.3.23 (Unix)
Server built:   Mar 26 2002 15:29:08

und kämpfe mit virtuellen hosts und SSL. Ich habe IP-based virtual hosts
aufgesetzt mit öffentlichen IP-Adressen. Das funktioniert einwandfrei und
die Shops sind auch erreichbar.

Nun habe ich die Shops vor zwei Tagen im Bestellvorgang auf SSL umgestellt
und habe das Problem, daß bei der SSL-Verbindung immer das Zertifikat des
ersten virtual hosts vorgezeigt wird und das ist ein Namebased virtual host.
Auch die folgenden SSL-Verbindungen laufen auf diesen host und werden mit
Fehlermeldungen quittiert, da auf dem Namebased virtual host natürlich
nicht die Seiten vorhanden sind wie auf dem ipbased host.
Der Bestellvorgang bricht ab :-(

Ich finde keine Lösung. Habe alles Mögliche schon probiert.

<IfDefine SSL>
Listen 192.168.20.60:80
Listen 192.168.20.60:443
Listen 212.17.241.83:80
Listen 212.17.241.83:443
</IfDefine>

NameVirtualHost 192.168.20.60:443

<VirtualHost 192.168.20.60:443>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/httpd/ssl.crt/servercert.pem
SSLCertificateKeyFile /etc/httpd/ssl.key/serverkey.pem
....

<VirtualHost 212.17.241.83:443>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/httpd/ssl.crt/server-cert.pem
SSLCertificateKeyFile /etc/httpd/ssl.key/server-key.pem
....

Hat jemand einen Rat für mich?

Grüße
-- 
   Andreas Meyer
   
Mein öffentlicher GPG-Schlüssel unter:
http://gpg-keyserver.de/pks/lookup?search=anmeyer&fingerprint=on&op=index

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Problem mit virtuellen hosts und SSL

Posted by Olaf Lautenschlaeger <ap...@anova.de>.

On Tuesday, May 22, 2007 7:15 PM [GMT+1=CET],
Andreas Meyer <an...@anup.de> wrote:

> Warum nicht die Zertifikate des ip-based hosts benutzt werden, ist
> mir im Moment schleierhaft.

Hast Du eine ServerName-Direktive in jedem SSL-vHost?
Funktionieren Deine DNS-Auflösungen für diese Hostnamen?

Mit freundlichen Grüßen

Dipl.-Ing. Olaf Lautenschlaeger
SysAdmin
-- 
ANOVA Multimedia Studios GmbH

fon: +49 (0) 381 - 40 59 550
fax: +49 (0) 381 - 40 59 551
internet: www.anova.de
corporate e-mail: info@anova.de
e-mail: ol@anova.de

_______________________________________

ANOVA Multimedia Studios GmbH

Geschaeftsfuehrer:
Prof. Dr. Hansgeorg Meissner,
Michael Kaeding

Firmensitz:
Joachim-Jungius-Straße 10,
D-18059 Rostock / Germany

Registergericht:
Amtsgericht Rostock

Handelsregisternummer:
HRB 2788

UST-IdNummer:
DE 811577650

(footer size due to legal restrictions applying under german law)


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Problem mit virtuellen hosts und SSL

Posted by Andreas Meyer <an...@anup.de>.

Torsten Streit <ba...@barnal.de> schrieb:

> Zitat dazu aus einer FAQ:
> 
> Mit nur einer IP-Adresse lassen sich mehrere namensbasierte virtuelle
> Hosts nicht betreiben, da der SSL-Handshake (wenn der Browser das
> sichere Zertifikat des Web-Servers akzeptiert) vor der HTTP-Anforderung
> stattfindet, die den geeigneten namenbasierten virtuellen Host
> identifiziert. Die Lösungsmöglichkeiten bestehen also entweder darin
> weitere IP-Adressen zu mieten oder einen SSL-Proxy mit mod_rewrite, wie
> in o.g. Anleitung beschrieben, einzurichten.
> 
> Auf SSLV3 warten und hoffen...
> 
> Gruß, T. Streit :)
> 
> Andreas Meyer schrieb:
> > Hallo!
> > 
> > Ich betreibe hier einen Webserver mit
> > # httpd -v
> > Server version: Apache/1.3.23 (Unix)
> > Server built:   Mar 26 2002 15:29:08
> > 
> > und kämpfe mit virtuellen hosts und SSL. Ich habe IP-based virtual hosts
> > aufgesetzt mit öffentlichen IP-Adressen. Das funktioniert einwandfrei und
> > die Shops sind auch erreichbar.
> > 
> > Nun habe ich die Shops vor zwei Tagen im Bestellvorgang auf SSL umgestellt
> > und habe das Problem, daß bei der SSL-Verbindung immer das Zertifikat des
> > ersten virtual hosts vorgezeigt wird und das ist ein Namebased virtual host.
> > Auch die folgenden SSL-Verbindungen laufen auf diesen host und werden mit
> > Fehlermeldungen quittiert, da auf dem Namebased virtual host natürlich
> > nicht die Seiten vorhanden sind wie auf dem ipbased host.
> > Der Bestellvorgang bricht ab :-(
> > 
> > Ich finde keine Lösung. Habe alles Mögliche schon probiert.
> > 
> > <IfDefine SSL>
> > Listen 192.168.20.60:80
> > Listen 192.168.20.60:443
> > Listen 212.17.241.83:80
> > Listen 212.17.241.83:443
> > </IfDefine>
> > 
> > NameVirtualHost 192.168.20.60:443
> > 
> > <VirtualHost 192.168.20.60:443>
> > SSLEngine on
> > SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
> > SSLCertificateFile /etc/httpd/ssl.crt/servercert.pem
> > SSLCertificateKeyFile /etc/httpd/ssl.key/serverkey.pem
> > ....
> > 
> > <VirtualHost 212.17.241.83:443>
> > SSLEngine on
> > SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
> > SSLCertificateFile /etc/httpd/ssl.crt/server-cert.pem
> > SSLCertificateKeyFile /etc/httpd/ssl.key/server-key.pem

Naja, ich sagte ja, daß ich die virtuellen hosts mit öffentlichen IP-Adressen
betreibe. Allerdings habe ich ein mixed-setup mit namensbasierten hosts und
ip-based hosts, wobei halt bei SSL-Verbindungen das Zertifikat des ersten
virtuellen SSL-hosts angezeigt wird und das ist ein namebased virtual host.

Warum nicht die Zertifikate des ip-based hosts benutzt werden, ist mir im
Moment schleierhaft.

-- 
   Andreas Meyer
   
Mein öffentlicher GPG-Schlüssel unter:
http://gpg-keyserver.de/pks/lookup?search=anmeyer&fingerprint=on&op=index

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Problem mit virtuellen hosts und SSL

Posted by Torsten Streit <ba...@barnal.de>.

Zitat dazu aus einer FAQ:

Mit nur einer IP-Adresse lassen sich mehrere namensbasierte virtuelle
Hosts nicht betreiben, da der SSL-Handshake (wenn der Browser das
sichere Zertifikat des Web-Servers akzeptiert) vor der HTTP-Anforderung
stattfindet, die den geeigneten namenbasierten virtuellen Host
identifiziert. Die Lösungsmöglichkeiten bestehen also entweder darin
weitere IP-Adressen zu mieten oder einen SSL-Proxy mit mod_rewrite, wie
in o.g. Anleitung beschrieben, einzurichten.

Auf SSLV3 warten und hoffen...

Gruß, T. Streit :)

Andreas Meyer schrieb:
> Hallo!
> 
> Ich betreibe hier einen Webserver mit
> # httpd -v
> Server version: Apache/1.3.23 (Unix)
> Server built:   Mar 26 2002 15:29:08
> 
> und kämpfe mit virtuellen hosts und SSL. Ich habe IP-based virtual hosts
> aufgesetzt mit öffentlichen IP-Adressen. Das funktioniert einwandfrei und
> die Shops sind auch erreichbar.
> 
> Nun habe ich die Shops vor zwei Tagen im Bestellvorgang auf SSL umgestellt
> und habe das Problem, daß bei der SSL-Verbindung immer das Zertifikat des
> ersten virtual hosts vorgezeigt wird und das ist ein Namebased virtual host.
> Auch die folgenden SSL-Verbindungen laufen auf diesen host und werden mit
> Fehlermeldungen quittiert, da auf dem Namebased virtual host natürlich
> nicht die Seiten vorhanden sind wie auf dem ipbased host.
> Der Bestellvorgang bricht ab :-(
> 
> Ich finde keine Lösung. Habe alles Mögliche schon probiert.
> 
> <IfDefine SSL>
> Listen 192.168.20.60:80
> Listen 192.168.20.60:443
> Listen 212.17.241.83:80
> Listen 212.17.241.83:443
> </IfDefine>
> 
> NameVirtualHost 192.168.20.60:443
> 
> <VirtualHost 192.168.20.60:443>
> SSLEngine on
> SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
> SSLCertificateFile /etc/httpd/ssl.crt/servercert.pem
> SSLCertificateKeyFile /etc/httpd/ssl.key/serverkey.pem
> ....
> 
> <VirtualHost 212.17.241.83:443>
> SSLEngine on
> SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
> SSLCertificateFile /etc/httpd/ssl.crt/server-cert.pem
> SSLCertificateKeyFile /etc/httpd/ssl.key/server-key.pem
> ....
> 
> Hat jemand einen Rat für mich?
> 
> Grüße


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------