SSL-Zertifikat

[Blackwolf]

Salve ...

Ich betreibe ISP-Config auf einem virtuellen Strato-Server mit mehreren "Spiel-Domains" ...

Jetzt soll eine Produktiv-Domain dazukommen und die soll einen Webshop beinhalten. Das dürfte dann - logischerweise - nur via https sinnig sein.

Das Problem ist: ...

So wie ich das verstanden habe, ist das Zertifikat unique für den Server. Soll heissen ... alle Domains (die über ssl gebaut werden) würden auf das gleiche Zertifikat zugreifen, bzw. diese Domains aufrufende User würden immer dasselbe Zertifikat erhalten.

Der Kunde jedoch möchte, das ein Aufruf seiner Domain auch ihn als Zertifikatseigener ausweist,... also ... jede Domain sollte auch ein eigenes Zertifikat erhalten.

Ist das möglich und wenn ja ... wie?

Greetz ...
Blackwolf

 

[Till]

So wie ich das verstanden habe, ist das Zertifikat unique für den Server. Soll heissen ... alle Domains (die über ssl gebaut werden) würden auf das gleiche Zertifikat zugreifen, bzw. diese Domains aufrufende User würden immer dasselbe Zertifikat erhalten.

Nein, das ist falsch. Du kannst für jede Domain, die ihre eigene IP hat, ein SSL Zertifikat anlegen.

 

[Blackwolf]

und genau das isses eben,...

ein virtueller Server ... mehrere Domains ... aber nur eine (shared) IP.

 

[Till]

Das ist schlecht. Dieses Limit ist Bestandteil der SSL Implementierung des apache Servers und hat nichts mit ISPConfig zu tun.

 

[Blackwolf]

dachte ich mir fast ...

Danke für die Hilfe.

 

[JeGr]

Es geht ... fast. Man kann es umgehen, indem man bspw. einen Proxydomain anlegt. Bspw. ssl.providerdomain.de und darunter dann als Pfadelemente die Domains via mod_rewrite/mod_proxy nutzt. Dadurch kann man mit einem Zertifikat den Kunden einen SSL Proxy bieten:

http://www.provider.de -> https://www.provider.de
http://www.kunde1.de -> https://ssl.provider.de/kunde1.de/
http://www.kunde2.de -> https://ssl.provider.de/kunde2.de/

Ist nicht superschön, aber es ist auch nicht unüblich, dass bspw. Shops oder SSL Bereiche ausgelagert werden. Es wäre eben eine Möglichkeit wenn man auf 1 IP festgenagelt ist.

Mehr dazu bspw.:
http://serversupportforum.de/forum/faqs-anleitungen/2558-howto-ssl-proxy.html
oder
http://sweon.net/2008/01/hosting-multiple-ssl-vhosts-on-a-single-ipportcertificate-with-apache2

 

[MediumO]

Es geht auch einfacher, bzw. schöner. Bei entsprechend professionellen Auftritten sehen SSL-Proxy Domains nicht sonderlich seriös aus.

Apache kann mittlerweile mit Shared-IP, Named-based Vhosts u. SSL umgehen.

evtl. interessant für dich:

http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/

http://gentoo-wiki.com/HOWTO_SSL_Enabled,_Name_Based_Virtual_Hosts_with_Apache

Ob ISP-Config dort evtl. ein Problem hat Zwecks Template Layout usw. kann ich nicht sagen, habe es selber mit ISP-Config noch nicht eingesetzt.

Alternative sind mittlerweile relativ günstige Multi-Domain Certs.
Wenn es nicht direkt für Kunden sein soll, sondern mehrere eigene Projekte ist dies eine schöne Lösung.

Dort lassen sich dann auch im nachhinein Domains ins Cert einfügen, dazu muss dann nur noch das Cert selber ausgetauscht werden und die Config greift für jede Domain auf das selbe Cert zu.

Wenn du spezielle Fragen zu der Certs hast meld dich einfach mal per PN.

PS: Confixx u. Plesk können nach meinem Kentnisstand z.B. mit Shared-IP Certs usw. umgehen damit umgehen, evtl. nettes Feature für ISP-Config.

So on
Olaf

 

[sumsebum]

Wenn ich kurz anmerken darf, gibt es hier schon ein exzelentes Howto dazu, welches auch IspConfig aufgreift .......

http://www.howtoforge.com/enable-multiple-https-sites-on-one-ip-using-tls-extensions-on-debian-etch

 

[MediumO]

Wer sucht der findet
Dankeschön, da war ich wohl auch zu blind auf Hotwoforge zu suchen.
Der Wald, Bäume usw. ...

Da fällt mir noch ein, eine Einschränkung gibt es bei SSL-Enabled Name-Based VHosts:
Nur relativ aktuelle Browser senden den SNI, falls der Besucher einen etwas älteren Browser verwendet wird der Apache wieder das erste Cert der IP verwenden und der Besucher evtl. eine Warnung erhalten. Deshalb sind manchmal Multi-Domain Certs die bessere wahl, vor allem wenn es rein um Projekte geht die man selbst verwaltet.

 

[JeGr]

Nur relativ aktuelle Browser senden den SNI, falls der Besucher einen etwas älteren Browser verwendet wird der Apache wieder das erste Cert der IP verwenden und der Besucher evtl. eine Warnung erhalten. Deshalb sind manchmal Multi-Domain Certs die bessere wahl, vor allem wenn es rein um Projekte geht die man selbst verwaltet.

Was der Grund war, weshalb ich die Version mit einem Proxy-SSL-Host gepostet hatte. Wenngleich nicht so "schön" wie die echte Domain, ist es trotzdem noch gültig für alle Browser und mit "Standard-Mitteln". Und wenn auch inzwischen viele aktuelle Browser es unterstützen, gibt es trotzdem noch viele, die IE6 oder FF1.5 einsetzen. Von anderen Anwendungen die SSL nutzen und kein Browser sind mal abgesehen (die kommen ggf. auch noch dazu).

Trotzdem stimme ich zu, dass das ggf. ein nettes Feature wäre

 

[sumsebum]

das Problem mit dem SSL-Proxy kommt aber meisten wenn du irgenwelche eCommerce Lösungen auf dem Server hast die mit SSL-Proxy nicht klar kommen.

Ist bei mir bei ein paar Kunden mit XTC der Fall ....