Apache SNI Multi SSL Server

T

trelock

New Member
Hallo an alle,

ich habe nach lange Zeit mal wieder ein Problem mit ISP Config. Laut Update Bericht sollte ja mit der akutellen Version und dem Apache SNI funktionieren. Allerdings bekomme ich es nicht ans laufen.
Openssl: 0.9.8o und Apache 2.2.16.

Könnt ihr mir bitte helfen. Danke
 
T

Till

Administrator
SNI bedarf keiner weiteren Konfiguration auf dem Server, daher hat es nichts mit ispconfig zu tun ob sni funktioniert oder nicht. Die checkbox in ispconfig dient lediglich dazu im Interface die Überprüfung dass nur ein SSL cert pro IP angelegt werden darf zu deaktivieren.

Ob sni geht hängt ausschließlich von der apache und openssl version sowie dem verwendeten webbrowser ab. Welche versionen da funktionieren steht in der wikipedia.

Server Name Indication - Wikipedia, the free encyclopedia
 
P

Pionier

Member
Zitat von trelock:
... dem Apache SNI funktionieren. Allerdings bekomme ich es nicht ans laufen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Geht mir genauso.
Eingesetzte Versionen:
Code: 
root@admin:~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 7.0 (wheezy)
Release:        7.0
Codename:       wheezy

root@admin:~# apache2 -v
Server version: Apache/2.2.22 (Debian)
Server built:   Oct 30 2012 23:32:31

root@admin:~# openssl version
OpenSSL 1.0.1c 10 May 2012
Zitat von Till:
SNI bedarf keiner weiteren Konfiguration auf dem Server, daher hat es nichts mit ispconfig zu tun ob sni funktioniert oder nicht.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
In welchen Logs kann ich denn sehen, warum es nicht geht?
Zitat von Till:
Die checkbox in ispconfig dient lediglich dazu im Interface die Überprüfung dass nur ein SSL cert pro IP angelegt werden darf zu deaktivieren.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
OK, aber wofür sind die beiden Textfelder (CA Pfad & CA Passwort) wenn sie nicht gebraucht werden?

@Till: Sei mir bitte nicht böse, ich versuche nur zuverstehen, da SNI ein föllig neues Thema für mich ist und ich gerne die Hintergründe verstehen möchte.
 
T

Till

Administrator
OK, aber wofür sind die beiden Textfelder (CA Pfad & CA Passwort) wenn sie nicht gebraucht werden?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Die Felder haben nichts mit SNI zu tun. Das eine Feld ist für eine SSL CA and das andere für das CA Passwort. Es gibt durchaus Unternehmen die ISPConfig einsetzen und eine eigene SSL CA betrieben...

In welchen Logs kann ich denn sehen, warum es nicht geht?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wenn Du vielleicht mal sagen würdest was genau nicht geht dann könnten wir hier versuchen Dir weiter zu helfen. Wie auf wikipedia beschrieben ist bei SNI vor allem auch der Browser wichtig und nicht nur die Server Software. Z.b. kann kein einziger IE unter WinXP SNI, selbst die aktuellsten Versionen nicht.

In welchen Logs kann ich denn sehen, warum es nicht geht?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Es gibte dafür keine spezifischen Logs. Es werden die normalen Logs des apache sowie die ssl logs verwendet.
 
P

Pionier

Member
Zitat von Till:
Die Felder haben nichts mit SNI zu tun. Das eine Feld ist für eine SSL CA and das andere für das CA Passwort. Es gibt durchaus Unternehmen die ISPConfig einsetzen und eine eigene SSL CA betrieben...
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
verstanden


Zitat von Till:
... ist bei SNI vor allem auch der Browser wichtig und nicht nur die Server Software. Z.b. kann kein einziger IE unter WinXP SNI, selbst die aktuellsten Versionen nicht.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Mein Browser ist Firefox 19.0, SNI geht mit dem, habe ich unter https://www.sni.velox.ch/ getestet.


Zitat von Till:
Wenn Du vielleicht mal sagen würdest was genau nicht geht dann könnten wir hier versuchen Dir weiter zu helfen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Ich habe drei Webseiten eingerichtet, beide mit * als IPv4. Bei allen habe ich SSL eingerichtet. Beim aufruf der Seiten über https://... lande ich immer auf der ersten Seite (die in "/etc/apache2/sites-enabled" als erstes steht). Beim aufruf über http://... ist alles ok.

eventuell hilt das weiter:
Code: 
root@admin:~# service apache2 restart
[....] Restarting web server: apache2[Wed Feb 20 15:58:44 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
[Wed Feb 20 15:58:44 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
 ... waiting [Wed Feb 20 15:58:45 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
[Wed Feb 20 15:58:45 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
. ok
 
P

Pionier

Member
Außer
Code: 
root@admin:~# service apache2 restart
[ ok ] Restarting web server: apache2 ... waiting .
keine Veränderung.
Beim Aufruf über https://... lande ich immer auf der ersten Seite.


Nehme alles zurück, nach der Änderung, die Till mir gesagt hat, und dem löschen des Browsercache scheint es zu gehen.
 
Zuletzt bearbeitet:
T

Till

Administrator
Dann lag es wahrscheinlich daran dass Du einen apache ssl defaul host angelegt hattest. Unter Debian und Ubuntu kannst Du ihn mit:

a2dissite default-ssl

deaktivieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top