apache2 und ssl

[keksinat0r]

Erstmal vorweg, was SSL angeht bin ich ein echter Laie, da ich mich nie wirklich damit beschäftigt habe und das ganze getue mit Root-CA und Signieren und dem ganzen Krusch net wirklich verstehe...

aber irgendwie kommt mir da etwas seltsam vor:

   SSLEngine             on
SSLCertificateFile    "/.../cert.pem"
SSLCertificateKeyFile "/.../cert.pem"

Gibt ja normalerweise an dass SSL Aktiviert wird, und dass /.../cert.pem sowohl als Key alsauch als Zertifikat genutzt werden soll...

Mein Apache scheint das aber zu ignorieren und immer nur ein einziges Zertifikat für alle V-Hosts zu verwenden...

Erstellt habe ich das Zertifikat mit "apache2-ssl-certifikate"
Und habe es anschließend aus /etc/apache2/ssl in das entsprechende Verzeichnis vershoben

Die Configs der V-Hosts sehen Folgendermaßen aus:

Spoiler: config

<VirtualHost domain.tld:443>

   ServerName subl.domain.tld

   ServerAlias sub.domain.tld
   ServerAdmin webmaster@domain.tld

   DocumentRoot "/.../"

   <Directory "/.../">
      Options       NONE
      AllowOverride NONE
      Order         ALLOW,DENY
      Allow from    ALL
   </Directory>

   SSLEngine             on
   SSLCertificateFile    "/.../cert.pem"
   SSLCertificateKeyFile "/.../cert.pem"

   CustomLog "/..." combined
   ErrorLog  "/..."
   LogLevel  warn

   php_admin_value open_basedir      "/.../:/.../:/.../"
   php_admin_value upload_tmp_dir    "/.../"
   php_admin_value session.save_path "/.../"
   php_admin_value error_log         "/..."

</VirtualHost>

Warum wird immer das selbe Zertifikat genutzt, und nicht das, welches in der Config steht?

 

[cr]

Weil es nicht anders geht, das hat mit der Funktionsweise von SSL zu tun. Du brauchst pro Pro SSL Zertifikat eine IP also müsstest du IP basierte virtuelle Hosts nutzen.

 

[keksinat0r]

joa hab ich auch gerade gefunden:
http://slacksite.com/apache/certificate.html

Gibt es irgendeine Möglichkeit jedem V-Host ein eigenes Zertifikate zu geben ohne zusätzliche IP (bei S4Y sind die verdammt teuer...) ?
Ich würde im Zertifikat äußerst ungerne * als Servername angeben...

 

[bitmuncher]

Original von keksinat0r
st ein eigenes Zertifikate zu geben ohne zusätzliche IP (bei S4Y sind die verdammt teuer...) ?

Nein, gibt es nicht. Wie cr schon sagte... pro Zertifikat eine IP. Und Zertifikate mit * als Servername kannst du eh gleich vergessen. Die werden bei jeder Domain als unsicher angezeigt.