Frage zum Apache Web-Server

souljumper · 20.06.09

hi

ich ahb ne frage zum webserver apache. Wenn ich mir für die sicherung meiner verbindung ein SSL-Zertifikat über openssl erstelle, muss ich darin ja nur meine domaine angeben(www.test.de z.b.)

Nun hab ich aber gelesen, das solche zertifikate an IP-Adresse gebunden sind - was für mich zwar logisch nachvollziehbar erscheint, aber ch kann nicht lokalisieren wo im Zertifikaterstellungsprozess eine IP angegeben wird?

wenn ich ein zertifikat erstelle, sind diese immer nur an domainnamen gebunden.

wo und wann hab ich die situation, dass ein zertifikat auch an eine ip gebunden ist(oder nur an eine ip?)

kann mr wer dazu was sagen?

salome · 21.06.09

Das ist keine Frage zum Apache Webserver sondern zu Zertifikaten. Irgendwie bist - oder bin ich hier
falsch.

salome

souljumper · 21.06.09

salome schrieb:
Das ist keine Frage zum Apache Webserver sondern zu Zertifikaten. Irgendwie bist - oder bin ich hier
falsch.
salome

hm, kann sein das ich mich verpostet hab, aber im allegmeinen kommen in den weitfassenden unterforen mehr leute vorbei, woraus ich mir eine höhere chance ableite eine antwort zu kriegen die thema bezogen ist

salome · 21.06.09

Tja, ich dachte, ich helfe dir mit Apache (da weiß ich ein bissel was), aber mit Zertifikaten habe ich gar nicht zu tun, die sind da und stören mich nciht

salome

m_ueberall · 21.06.09

souljumper schrieb:
Nun hab ich aber gelesen, das solche zertifikate an IP-Adresse gebunden sind

Das ist definitiv nicht der Fall (und das ist auch unabhängig davon, ob es sich um ein sogenanntes Wildcard-Zertifikat handelt, welches mehrere Subdomains abdeckt, oder nicht). Entweder die Quelle hat es undeutlich formuliert oder Du hast Dich verlesen, denn eine (immer noch) häufige Aussage lautet genau andersherum: "Jede IP-Adresse kann nur an ein Zertifikat gebunden werden". Dies war früher so, aber das auch das läßt sich mittlerweile durch GnuTLS (unterstützt durch alle aktuellen Browser) umgehen...

Ich verwende selbst solche (Wildcard-)Zertifikate, um mit einem kleinen Testserver zwei "voneinander unabhängige Installationen" über ein- und dieselbe DSL-Verbindung unter zwei verschiedenen DynDNS-Domains "anzubinden".

Ad astra, Markus

pepi · 21.06.09

Da mit der Umgehung ist nicht ganz korrekt. Ein Apache Server kann nur ein Zertifikat pro IP verwenden. Wenn das ein Wildcard Zertifikat ist, dann kann man mehrere SSL Hosts nach dem Schema *.example.com verwenden. Was nicht geht ist auf einer IP zwei vHosts zu machen worauf einer auf www.example.com hört und ein anderer auf www.beispiel.org reagiert.

Genaugenommen kann also eine IP nur auf einen Hostnamen bzw. eine Domain gebunden werden. Die Angabe der IP ist im Zertifikat nicht drinnen, dort ist nur der Hostname vorhanden.
Gruß Pepi

m_ueberall · 22.06.09

pepi schrieb:
Ein Apache Server kann nur ein Zertifikat pro IP verwenden.

Vergleiche Stichwort SNI (Server Name Indication) und das Konfigurationsbeispiel im (Gentoo-)Artikel...

Ad astra, Markus

pepi · 22.06.09

Was allerdings als experimentell angesehen wird und außerdem vom Browser unterstützt sein muß. Die Chance das realisitisch und problemlos einsetzen zu können ist also wohl erst in ein paar Jahren gegeben.
Gruß Pepi

Suche

Suche

Frage zum Apache Web-Server

souljumper

Roter Delicious

salome

Golden Noble

souljumper

Roter Delicious

salome

Golden Noble

m_ueberall

Granny Smith

pepi

Cellini

m_ueberall

Granny Smith

pepi

Cellini

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)