[HaBo]

easteregg · 21.09.09, 14:30

heyho

ich hab für meinen kleinen privaten server vhost eingerichtet, das funktioniert auch alles soweit recht gut.
habe jetzt kürzlich für einen host noch zusätzlich eine ssl sicherung hinzugefügt, welche aber nur für alle anderen hosts verfügbar ist.

ich möchte aber, dass man nur auf eine spezielle domain mit https raufkommt.
hier mal die config:

Code:

<VirtualHost *:443>
        ServerName p7.zwischenablage.net
        ServerAlias p7.zwischenablage.net

        DocumentRoot /var/www/p7.zwischenablage.net


        <Directory />
          AllowOverride All
          Order allow,deny
          Allow from all
        </Directory>

        php_admin_value open_basedir /var/www/p7.zwischenablage.net:/tmp
        php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd

        ErrorLog /var/log/apache2/p7/error.log
        CustomLog /var/log/apache2/p7/access.log vhost_combined


        # Disable TRACE-/TRACK-Method
        RewriteEngine on
        RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
        RewriteRule .* - [F]

        SSLEngine on

        SSLOptions +StrictRequire

        SSLCertificateFile /etc/apache2/https/server.crt
        SSLCertificateKeyFile /etc/apache2/https/server.key


</VirtualHost>

für andere vhosts ist das ganze nicht configuriert, sprich das ist der einzige mit https support. wie kann ich jetzt nur diesen vhost zulassen? derzeit komme ich nämlich auch mit https://zwischenablage.net auf diesem host hier raus, das möchte ich aber nicht.

**bitmuncher** · 21.09.09, 14:35

Du wirst NameVirtualHost nutzen müssen und dafür dann jeweils 2, einmal für *:80 und einmal für *:443, vermute ich mal.

HaBo Ads

easteregg · 21.09.09, 14:37

gibts nicht ne möglichkeit dieser config was hinzuzufügen? so alla host deny from all allo from p7.zwischenablage.net?
also der rest soll ja wie gesagt kein https support bekommen.

**bitmuncher** · 21.09.09, 14:42

Die Allow-Direktive legt fest wer drauf zugreifen darf, nicht welches VHost welche Features unterstützen soll o.ä.. Deine Config umzuschreiben sollte aber ja wohl kaum ein Problem sein.

Code:

NameVirtualHost *:80

<VirtualHost *:80>
   # dein erstes vhost ohne ssl
</VirtualHost>

<VirtualHost *:80>
   # dein zweites vhost ohne ssl
</VirtualHost>

NameVirtualHost *:443

<VirtualHost *:443>
   # dein vhost mit ssl
</VirtualHost>

Zu beachten ist lediglich, dass die NameVirtualHost-Direktive sich immer auf die VHosts bezieht, die darunter stehen.

easteregg · 21.09.09, 14:45

genau so in der form hab ich es ja.

ca. 15 hosts welche alle auf port80 konfiguriert sind und eben einer der neben dem plain http noch eben ssl support haben soll.

angenommen no-ssl.zwischenablage.net hat ne *:80 config und keine *:443 config, kann ich aber dennoch auf https://no-ssl.zwischenablage.net zugreifen und komme aber auf p7.zwischenablage.net vom raus. und eben das will ich verhindern.
ich möchte einfach erreichen, dass die verbindung abgelehnt wird, wenn die anfrage nicht an https://p7.zwischenablage.net rauskommt.

ich glaube fast, wir haben etwas an einander vorbeigeredet!

**bitmuncher** · 21.09.09, 14:54

In dem Moment, wo die NameVirtualHosts korrekt sind, sollten die VHosts eh nur noch auf ihre Domain reagieren. Es wäre dann garnicht möglich, dass das VHost für p7.zwischenablage.net angesprochen wird, wenn man no-ssl.zwischenablage.net aufruft. Insofern tippe ich auf einen Konfigurationsfehler. Achja... das SSL-Vhosts darf nicht das erste VHost in der Config sein. Dieses wird immer dann genutzt, wenn kein anderes passendes VHost gefunden werden kann.

easteregg · 21.09.09, 15:17

nuja, da ich sonst keinen anderen vhost mit https habe, wäre das ja sogesehen immer der erste in der vhost config.

ich hab jetzt namevirtualhost in die config hinzugefügt, aber dennoch reagiert der vhost auf andere hostnames :|

**bitmuncher** · 21.09.09, 16:02

Sorry, da hatte ich einen Denkfehler...

Apache arbeitet seine Konfiguration sequentiell ab. D.h. also, dass auch die VHosts sequentiell abgearbeitet werden, aber mit einem Unterschied zur globalen Config... Gibt die NameVirtualHost-Direktive einen Port vor, werden die VHosts dieses benannten Bereichs bevorzugt, wenn explizit auf diesem Port angefragt wurde. Für dich heisst das, dass er beim Aufruf einer https-Adresse direkt in der Bereich der NameVirtualHost *:443 springt. In diesem benannten Bereich ist dein VHost aber das einzige, so dass es immer matcht, da es keine anderen gibt. Auch hier gilt wieder... das erste VHost wird verwendet, wenn es nichts passendes gibt, aber eben das erste innerhalb des benannten Bereichs. Du kannst das ganz einfach lösen, indem du über deinem SSL-Vhost ein weiters definierst, dem du einfach nonssl.domain.tld als ServerName gibst und in das du ein einfaches Redirect auf eine Domain packst:

Code:

NameVirtualHost *:443

<VirtualHost *:443>
  ServerName nonssl.domain.tld
  ...
  RedirectMatch ^/$ http://www.domain.tld/
</VirtualHost>

<VirtualHost *:443>
  ServerName p7.domain.tld
  ...
</VirtualHost>

In dem Fall sollten alle Anfragen, die nicht p7.domain.tld betreffen durch das erste VHost abgearbeitet werden. Im übrigen braucht man kein ServerAlias, wenn es eh identisch mit dem ServerName ist. ServerAlias ist dazu gedacht zusätzliche Domains an ein VHost zu binden.

easteregg · 21.09.09, 16:11

cool das funktioniert

danke dir!

**Chromatin** · 23.11.09, 18:03

Man kann auch noch abschliessend erwähnen, das SSL aktiv wird bevor die eigentlichen Requests beim Server ankommen

Nur zur Info

Empfehlung

21.09.09, 14:30	#1 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	vhosts und https? heyho ich hab für meinen kleinen privaten server vhost eingerichtet, das funktioniert auch alles soweit recht gut. habe jetzt kürzlich für einen host noch zusätzlich eine ssl sicherung hinzugefügt, welche aber nur für alle anderen hosts verfügbar ist. ich möchte aber, dass man nur auf eine spezielle domain mit https raufkommt. hier mal die config: Code: <VirtualHost :443> ServerName p7.zwischenablage.net ServerAlias p7.zwischenablage.net DocumentRoot /var/www/p7.zwischenablage.net <Directory /> AllowOverride All Order allow,deny Allow from all </Directory> php_admin_value open_basedir /var/www/p7.zwischenablage.net:/tmp php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd ErrorLog /var/log/apache2/p7/error.log CustomLog /var/log/apache2/p7/access.log vhost_combined # Disable TRACE-/TRACK-Method RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE\|TRACK) RewriteRule . - [F] SSLEngine on SSLOptions +StrictRequire SSLCertificateFile /etc/apache2/https/server.crt SSLCertificateKeyFile /etc/apache2/https/server.key </VirtualHost> für andere vhosts ist das ganze nicht configuriert, sprich das ist der einzige mit https support. wie kann ich jetzt nur diesen vhost zulassen? derzeit komme ich nämlich auch mit https://zwischenablage.net auf diesem host hier raus, das möchte ich aber nicht. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

21.09.09, 14:35	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Du wirst NameVirtualHost nutzen müssen und dafür dann jeweils 2, einmal für :80 und einmal für :443, vermute ich mal. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

21.09.09, 14:37	#3 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 60	gibts nicht ne möglichkeit dieser config was hinzuzufügen? so alla host deny from all allo from p7.zwischenablage.net? also der rest soll ja wie gesagt kein https support bekommen. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

21.09.09, 14:42	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Die Allow-Direktive legt fest wer drauf zugreifen darf, nicht welches VHost welche Features unterstützen soll o.ä.. Deine Config umzuschreiben sollte aber ja wohl kaum ein Problem sein. Code: NameVirtualHost :80 <VirtualHost :80> # dein erstes vhost ohne ssl </VirtualHost> <VirtualHost :80> # dein zweites vhost ohne ssl </VirtualHost> NameVirtualHost :443 <VirtualHost *:443> # dein vhost mit ssl </VirtualHost> Zu beachten ist lediglich, dass die NameVirtualHost-Direktive sich immer auf die VHosts bezieht, die darunter stehen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

21.09.09, 14:45	#5 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 60	genau so in der form hab ich es ja. ca. 15 hosts welche alle auf port80 konfiguriert sind und eben einer der neben dem plain http noch eben ssl support haben soll. angenommen no-ssl.zwischenablage.net hat ne :80 config und keine :443 config, kann ich aber dennoch auf https://no-ssl.zwischenablage.net zugreifen und komme aber auf p7.zwischenablage.net vom raus. und eben das will ich verhindern. ich möchte einfach erreichen, dass die verbindung abgelehnt wird, wenn die anfrage nicht an https://p7.zwischenablage.net rauskommt. ich glaube fast, wir haben etwas an einander vorbeigeredet! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

21.09.09, 14:54	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	In dem Moment, wo die NameVirtualHosts korrekt sind, sollten die VHosts eh nur noch auf ihre Domain reagieren. Es wäre dann garnicht möglich, dass das VHost für p7.zwischenablage.net angesprochen wird, wenn man no-ssl.zwischenablage.net aufruft. Insofern tippe ich auf einen Konfigurationsfehler. Achja... das SSL-Vhosts darf nicht das erste VHost in der Config sein. Dieses wird immer dann genutzt, wenn kein anderes passendes VHost gefunden werden kann. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

21.09.09, 15:17	#7 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 60	nuja, da ich sonst keinen anderen vhost mit https habe, wäre das ja sogesehen immer der erste in der vhost config. ich hab jetzt namevirtualhost in die config hinzugefügt, aber dennoch reagiert der vhost auf andere hostnames :\| __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

21.09.09, 16:02	#8 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Sorry, da hatte ich einen Denkfehler... Apache arbeitet seine Konfiguration sequentiell ab. D.h. also, dass auch die VHosts sequentiell abgearbeitet werden, aber mit einem Unterschied zur globalen Config... Gibt die NameVirtualHost-Direktive einen Port vor, werden die VHosts dieses benannten Bereichs bevorzugt, wenn explizit auf diesem Port angefragt wurde. Für dich heisst das, dass er beim Aufruf einer https-Adresse direkt in der Bereich der NameVirtualHost :443 springt. In diesem benannten Bereich ist dein VHost aber das einzige, so dass es immer matcht, da es keine anderen gibt. Auch hier gilt wieder... das erste VHost wird verwendet, wenn es nichts passendes gibt, aber eben das erste innerhalb des benannten Bereichs. Du kannst das ganz einfach lösen, indem du über deinem SSL-Vhost ein weiters definierst, dem du einfach nonssl.domain.tld als ServerName gibst und in das du ein einfaches Redirect auf eine Domain packst: Code: NameVirtualHost :443 <VirtualHost :443> ServerName nonssl.domain.tld ... RedirectMatch ^/$ http://www.domain.tld/ </VirtualHost> <VirtualHost :443> ServerName p7.domain.tld ... </VirtualHost> In dem Fall sollten alle Anfragen, die nicht p7.domain.tld betreffen durch das erste VHost abgearbeitet werden. Im übrigen braucht man kein ServerAlias, wenn es eh identisch mit dem ServerName ist. ServerAlias ist dazu gedacht zusätzliche Domains an ein VHost zu binden. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

21.09.09, 16:11	#9 (permalink)
easteregg Member of Honour Themenstarter Registriert seit: 14.09.07 Likes: 60	cool das funktioniert danke dir! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

23.11.09, 18:03	#10 (permalink)
Chromatin Moderator Registriert seit: 30.06.08 Likes: 167	Man kann auch noch abschliessend erwähnen, das SSL aktiv wird bevor die eigentlichen Requests beim Server ankommen Nur zur Info __________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
POC: HTTPS Tunnel	Nimda05	(In)security allgemein	7	28.08.09 00:01
https?	Watchme	Hackerboard.de-Feedback	34	05.07.09 20:38
apache vhosts und php absichern	easteregg	Webmaster-Security	7	01.07.09 17:22
SVN vhosts passwortschutz	weau	Linux/UNIX	19	06.05.08 08:34
HTTPS anzeigen	xeon	Internet Allgemein	2	08.06.07 20:23


HaBo Ads HaBOT

[HaBo]

vhosts und https?