Moin Ronny, On Mon, Dec 05, 2011 at 05:57:50PM +0100, Ronny Seffner wrote: > @Fabian > SNI will ich nicht verwenden und auf was ich mich bei der Umstellung von > mod_ssl auf mod_gnutls einlasse, weiß ich noch nicht. Am liebsten wäre es > mir, die Umgebung so wenig wie möglich verändern zu müssen. Du musst wie gesagt nicht auch mod_gnutls umsteigen. Mit einer aktuellen libopenssl kannst du das auch mit mod_ssl. Du musst nur das Name-based virtual Hosting auf Port 443 im Apache anmachen. Als ich damals SNI aktiviert hatte, bin ich auch zuerst darüber gestolpert, dass das vorherige Setup direkt funktioniert, aber sobald ich den zweiten SSL-vHost aktiviert hatte der Apache sich weigerte zu starten. Nach dem NameVirtualHost funktioniert es aber.
> @all > Ich glaube verstanden zu haben, dass das feature unter apache 2.2.9 eher ein > bug ist. SSL kapselt doch HTTP und die URL steht im requste, also im HTTP. > Das Ganze konnte wohl nur funktionieren (mit mod_ssl und damit ohne SNI), > weil alle Subdomains "Kinder" ein und derselben Domain waren. "Schade" nur, > dass der apache 2.2.16 aus dem [warn] ein [error] macht. Das Problem, vor dem die meisten hier stehen würden, ist dass du selten ein Zertifikat für all deine Hosting-Kunden zugleich ausgestellt bekommst (wenn du nicht selbst die CA bist, oder alles unter deinem personal CACert-Account machst). Daher brauchst du verschiedene Zertifikate, was mit reinem SSL/HTTP wie beschrieben nicht geht. Dafür wurde SNI erfunden. In deinem konkreten Fall kannst du SNI links liegen lassen, du hast ja das Glück, ein Zertifikat ausstellen zu können, dass alle deine HTTPS-Ziel-Domains enthält. Damit reicht ein globales Zertifikat. Gruß, Andre -- Andre Klärner Telefon: 0351/79666546 Fax: 0351/79688547 Mobil: 0172/9838653 Anschrift: Prohliser Allee 43 01239 Dresden Diese E-Mail ist mittels S/MIME signiert worden. Für S/MIME sind die Root-Zertifiakate der CAcert.org zu installieren (unter http://www.cacert.org/index.php?id=3 zu finden), damit mein Zertifikat als vertrauenswürdig eingestuft wird. CAcert.org ist eine offene Zertifizierungsstelle für SSL-Zertifikate auf Basis eines Web-Of-Trust. Weitere Details finden Sie auf der Website. Wenn diese E-Mail nicht als authentifiziert angezeigt wird, überprüfen Sie bitte doppelt die Korrektheit dieser Mail.
smime.p7s
Description: S/MIME cryptographic signature
_______________________________________________ Lug-dd maillist - [email protected] https://ssl.schlittermann.de/mailman/listinfo/lug-dd
