httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Rainer Sokoll <R.Sok...@intershop.de>
Subject Re: VirtualHosts / SSL
Date Tue, 02 May 2006 10:44:18 GMT
On Tue, May 02, 2006 at 11:51:39AM +0200, Daniel Bradler wrote:
> On Tue, 2 May 2006, Joerg Behrens wrote:
> 
> >>Doch, das geht.  Eine eindeutige TCP/IP-Adresse pro HTTPS-Virtualhost
> >>ist ausreichend.
> >
> >Der OP schrieb das er nur eine IP für seinen Server hat und somit war die 
> >richtige Anwort 'nein'.
> 
> Nein, denn eine eindeutige TCP/IP-Adresse kann auch durch Verwendung
> unterschiedlicher Portadressen erzeugt werden.

Ports haben nun wirklich nichts mit IP-Adressen zu tun. Immerhin: Wenn
man unterschiedliche Ports verwendet, könnte das mit Bauchschmerzen
gehen (hab' ich nie probiert).
Bauchschmerzen deshalb, weil es erstens eine blöde Idee ist, HTTPS
woanders als TCP/443 zu betreiben und zweitens, weil das Zertifikat auf
einen DNS-Namen ausgestellt ist.
Beispiel: Zertifikat1 ausgestellt auf vhost1.example.org, Zertifikat2
auf vhost2.example.org. Da nur eine IP zur Verfügung steht, lösen vhost1
und vhost2 beide auf z.B. 1.1.1.1 auf. Dieselbe Adresse löst rückwärts
aber nur auf vhost1.example.org auf. Wenn jetzt versucht wird, eine
SSL-Verbindung auf vhost2.example.org zu machen, wird der sein
Zertifikat für vhost2 präsentieren. Unser Client aber redet mit 1.1.1.1,
was auf vhost1 auflöst, mithin paßt das Zertifikat nicht. Also wird er
das Zertifikat anmeckern.
Das ganze Problem ist eine FAQ:
http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts

Rainer

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message