[linux] SSlCertifikaty na apache-ssl

Jozef Kosoru zyzstar na uid0.sk
Středa Únor 15 16:23:12 CET 2006 

On Thu, Dec 15, 2005 at 22:16:48 +0100, Ing. Jan ONDREJ wrote:
> On Thu, Dec 15, 2005 at 10:07:10PM +0100, Marek Slebodnik wrote:
> > podarilo sa niekomu ( ak sa to vobec da), rozbehat viacej
> > SSLCertifikatov na apache2 + modssl apache-ssl podla named Based
> > virtual hosting ?.
> >   --STRIP--
> > <VirtualHost *:443>
> >         ServerAdmin webmaster na domena.sk
> >         SSLEngine On
> >         SSLCertificateFile /etc/apache2/ssl/cert1.pem
> >         ServerName mail.domena.sk
> >         DocumentRoot /var/www/squirrelmail
> > </VirtualHost>      
> > 
> > <VirtualHost *:443>
> >         ServerAdmin webmaster na domena.sk
> >         SSLEngine On
> >         SSLCertificateFile /etc/apache2/ssl/cert2.pem
> >         ServerName mysql.domena.sk
> >         DocumentRoot /usr/share/phpmyadmin
> > </VirtualHost>
> > --STRIP--
> > 
> > stale mi to zerie len ten prvy certifikat :(, akurat co sa mi
> > podarilo , ked to bezalo na dalsom porte , potom fungovali oba
> > certifikaty.
> 
> No tak podla mna ti to nepojde. Kedze name based virtual hosting
> funguje tak, ze pri prikaze GET/POST/... sa odosle aj nazov hostu, pre
> ktory danu stranku klient vyzaduje. Problem je, ze SSL spojenie sa
> nadvazuje este predtym, ako sa odosle poziadavka (ta totisto ide tiez
> sifrovane). Kedze server este netusi, pre ktory host pride poziadavka,
> nevie sa rozhodnut, ktory certifikat pouzit. Tym padom pouzije prvy,
> na ktory narazi.  Dost pochybujem, ze to vyriesis inak, ako
> certifikatom na roznych portoch alebo roznych IP adresach.
> 
> Este jednym z rieseni je certifikat pre viacero hostov naraz na
> zaklade hviezdickovej sekvencie (napr. pre *.salstar.sk). Musia ti ale
> vsetky hosty padnut do jednej domeny. Neviem o tom, zeby bolo mozne
> generovat certifikaty pre viacero domen oddelenych napr. ciarkou.

TLS protokol to umoznuje, avsak podpora zo strany browserov zatial
chyba:

http://paul.querna.org/journal/articles/2005/04/24/tls-server-name-indication
http://my.opera.com/community/dev/tp/760/tls11/info/

Jozef

-- 
jozef kosoru
http://zyzstar.kosoru.com

Další informace o konferenci linux