SSL Wildcard eine IP

[mare]

Hallo,

Ich habe ein Wildcardzertifikat für ein Projekt. Jede Instanz bekommt ein eigenes web mit suexec um die Rechte sauber zu halten.

Ich hatte gedacht ich kann jetzt einfach das Zerti reinnehmen auf ssl stellen und alles ist gut. Aber er springt immer nur auf die erste Instanz. Die anderen sind nicht erreichbar.

Eine Möglichkeit die mir noch einfallen würde wäre ein SSL Proxy und die Instanzen als Verzeichnis abzubilden. Aber die Darstellung mit der Subdomain gefällt mir besser.

Gibt es eine Möglichkeit das mit einer IP abzuwicklen oder muß ich wirklich für jede Instanz eine separate IP opfern?

/lg mare

 

[nowayback]

Moinsen,

soweit ich weiß sind Wildcard SSL Zertifikate für die Domain also *.example.com

Mit der IP hat das gar nichts zutun.

In der Theorie legst du im Apache den Virtualhost *.example.com an und fügst dort das Zertifikat an und stellst SSL Engine auf On.
Danach legst du die einzelnen Subdomains als weitere Virtualhosts an.
Das Zertifikat nimmt der Apache dann von *.example.com.

Hoffe ich konnte helfen

Grüße
nwb

 

[mare]

Ich glaube das wird leider nichts.

Ein Multidomain oder Wildcard Zert mehrfach zu verwenden ist ja kein Problem. Aber wahrscheinlich nicht mit einer IP :-(

Der geht immer auf den ersten Host der auf die IP matcht.
Wenn ich den ersten Host deaktiviere komt beim aufruf von einer subdomain aus *.domain.tld der zweite aber auch auf allen Namen.

Somit scheint wohl wirklich eine IP pro SSL notwendig zu sein :-(

 

[nowayback]

Der geht immer auf den ersten Host der auf die IP matcht.

Das ist falsch!

Ich habe einige Server in einer ähnlichen Konfiguration laufen, nur halt ohne ISP Config, da ich dieses erstmal ausführlich testen will.

Beispiel *.vhost

NameVirtualHost 127.0.0.1:443

# Default-Host
<VirtualHost 127.0.0.1:443>
  ServerName *.example.com
  DocumentRoot /var/www/default
  <IfModule mod_ssl.c>
    SSLEngine on
    SSLCertificateKeyFile /etc/ssl.key/example.com.key
    SSLCertificateFile /etc/ssl.crt/example.com.crt
  </IfModule>
</VirtualHost>

# Subdomain. SSL durch den Default Host aktiviert.
<VirtualHost 127.0.0.1:443>
  ServerName subdomain1.example.com
  DocumentRoot /var/www/subdomain1
</VirtualHost>

Funktioniert so bei mir, ohne separate IP's - Original IP ersetzt durch die localhost IP

Sollte ich dich falsch verstanden haben, lass es mich bitte wissen

Grüße
nwb

 

[mare]

Hallo,

Du hast recht. So funktioniert es.

Nach ein paar Umbauten am vhost template und den Symlinks der Hosts klappt es auch mit ISPC.

Kannst du mal bitte bei dir testen, was die PHP Variable $_SERVER["SERVER_PORT"] bei einem Subhost ausgibt?

Bei mir steht da bei dem "Masterhost" 443 drin. Aber bei den untergeordneten Hosts komischer Weise 80.

Wireshark hat aber schon bestätigt, das die Verbindungen über https also 443 abgewickelt werden.

Warum in der phpinfo jetzt dort Port 80 steht kann ich mir nicht erklären.



EDIT:
Es lag am Apache.
Wenn man in dem vhost nochmal

SSLEngine on
SSLCertificateKeyFile /etc/ssl.key/example.com.key
SSLCertificateFile /etc/ssl.crt/example.com.crt

einträgt steht auch in der Umgebungsvariable Port 443 drin.
Die Einträge sind dann zwar doppelt aber es kommt keine Fehlermeldung und alles funktioniert.