Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: 2 verschillende SSL domeinen op 1 server  (gelezen 3333 keer)

Offline RogierVLD

  • Lid
  • Steunpunt: Nee
2 verschillende SSL domeinen op 1 server
« Gepost op: 2011/02/11, 12:32:41 »
Hoi,

ik heb een probleem. Ik heb 2  domeinen. Ik heb 2 verschillende certificaten gekocht om https verbindingen te maken.
Ik krijg de certificaten niet beiden tegelijkertijd werkend.
De server is wel gestart maar de domeinen komen niet juist uit en of het certificaat geeft een vage error.

[sudo] password for rogier:
rogier@vps6266:/etc/apache2/ssl$ sudo /etc/init.d/apache2 start
 * Starting web server apache2                                                                                                            
[b][Fri Feb 11 11:58:36 2011] [warn] _default_ VirtualHost overlap on port 443, the first has precedence[/b]
Apache/2.2.14 mod_ssl/2.2.14 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.

Server www.*****************.nl:443 (RSA)
Enter pass phrase:

OK: Pass Phrase Dialog successful.
                                                                                                           [ OK ]


Hieronder een stukje uit de configuratie van apache (beetje gestripped)
<VirtualHost *:80>
DocumentRoot "/websites/1/www"
ServerName 1.net
<Location />
RewriteEngine on
RewriteCond %{HTTPS} off
#RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R]
RewriteRule (.*) https://www.1.net%{REQUEST_URI} [R]
</Location>
</VirtualHost>

<VirtualHost *:443>
DocumentRoot "/websites/1/www"
ServerName 1.net
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/1_net.crt
SSLCertificateKeyFile /etc/apache2/ssl/www_1_net.key
SSLCertificateChainFile /etc/apache2/ssl/EntrustSecureServerCA.crt
SSLCertificateChainFile /etc/apache2/ssl/USERTrustLegacySecureServerCA.crt
</VirtualHost>

<VirtualHost *:80>
DocumentRoot "/websites/2/www"
ServerName www.2.nl
<Location />
RewriteEngine on
RewriteCond %{HTTPS} off
#RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R]
RewriteRule (.*) https://www.2.nl%{REQUEST_URI} [R]
</Location>
</VirtualHost>

<VirtualHost *:443>
DocumentRoot "/websites/2/www"
ServerName www.2.nl
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/2.crt
SSLCertificateKeyFile /etc/apache2/ssl/2.key
SSLCertificateChainFile /etc/apache2/ssl/EntrustSecureServerCA.crt
SSLCertificateChainFile /etc/apache2/ssl/USERTrustLegacySecureServerCA.crt
</VirtualHost>

Alvast bedankt voor tips en hulp. Dank!

Rogier

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #1 Gepost op: 2011/02/11, 22:47:19 »
Geen idee, maar google roept het volgende:

http://www.google.nl/#hl=nl&source=hp&biw=1269&bih=706&q=_default_+VirtualHost+overlap+on+port+443%2C+the+first+has+precedence&aq=f&aqi=&aql=&oq=&fp=6efbc6b8369fbaca

en deze is wellicht de oplossing:

http://advices.latkos.eu.org/advices-and-information/76/

Daar staat:  Now it all boots up nice and clean, so I’m happy.

EDIT

Idem hier:   http://happy-coding.com/warn-_default_-virtualhost-overlap-on-port-443-the-first-has-precedence/

To fix this I had to add

NameVirtualHost *:443
to my Apache configuration file (apache2.conf).



« Laatst bewerkt op: 2011/02/11, 22:54:11 door ivo »
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline RogierVLD

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #2 Gepost op: 2011/02/12, 00:39:47 »
Hoi,

Bedankt voor het zoeken.

Mijn zoeken leverde op dat het niet mogelijk is om met verschillende certificaten te werken op 1 server met 1 IP adres.
Citaat
HTTPS establishes an SSL connection with the server prior to _any_ HTTP
conversation. Since SSL requires a certificate which is linked to the
server host name, and the virtual host name hasn't been transmitted by
the client yet, there's no way short of ESP for the server to tell which
SSL certificate to use. There's a detailed explanation on the apache
website; but this isn't an apache failing so much as a general issue
with HTTP/SSL.

Ik heb nu een certificaat gekocht voor meerdere domeinen en ga weer even verder stoeien.

Rogier

Offline rja

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #3 Gepost op: 2011/02/12, 12:43:55 »
Een tijd geleden dat ik met SSL gewerkt hebt.

Maar volgens mij kun je maar een SSL certificaat gebruiken voor een virtual host.

Een workarround zou kunnen zijn, door je Linux server meerdere ip´nrs te geven als dat mogelijk is.

Misschien zijn er nu wel andere oplossingen mogelijkheid.



Offline Gotiniens

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #4 Gepost op: 2011/02/13, 01:47:16 »
Nee virtualhosts zijn niet genoeg, ze moeten echt verschillende IP's hebben. Een server met meerdere IP's is natuurlijk best mogelijk.

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #5 Gepost op: 2011/02/14, 10:15:07 »
Ik zie niet in waarom dit niet kan werken.
Echter, als je twee keer een *:443 maakt gaat dat niet werken natuurlijk....

Verdiep je eerst eens in het maken van goede virtual hosts, dan is het goed te doen.
Het is waarschijnlijk wel een vereiste dat de twee virtualhosts beide een eigen A record hebben in DNS en dus geen CNAME (een verwijzing)
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline karlhungus

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #6 Gepost op: 2011/03/04, 15:18:58 »
Nee virtualhosts zijn niet genoeg, ze moeten echt verschillende IP's hebben. Een server met meerdere IP's is natuurlijk best mogelijk.

Dat is correct. Een enkel certificaat werkt op een enkel IP. Anders gaat het niet gebeuren. Dat zijn nu eenmaal de regels :D

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #7 Gepost op: 2011/03/08, 10:25:15 »
http://www.howtoforge.com/hosting-multiple-ssl-web-sites-on-one-ip-address-with-apache-2.2-and-gnutls-debian-lenny

Dus ga me nou niet zeggen dat het niet kan  ???
Anders zouden er nooit verschillende secure sites op 1 machine kunnen draaien bij hosters...
Het is dus mogelijk, al zijn er haken en ogen aan.
Maar als ik wikipedia mag geloven (en dat is gevaarlijk) kan het al sinds 2003.
« Laatst bewerkt op: 2011/03/08, 10:36:41 door Buzzin »
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline RogierVLD

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #8 Gepost op: 2011/03/10, 15:39:51 »
Hoi,

Ik heb een multi domein certificaat uiteindelijk aangeschaft van het bedrijf Comodo.
Via https://www.sslcertificaten.nl/SSLCertificaatMDC
Uiteindelijk werkt het prima alleen het configureren werkt heel nauwlettend.
Als de eindgebruiker het certificaat gaat bekijken zal hij wellicht in eerste instantie de hoofddomeinnaam zien, maar als hij/zij verder klikt ook de andere domeinen in het certificaat.

Rogier

Offline karlhungus

  • Lid
  • Steunpunt: Nee
Re: 2 verschillende SSL domeinen op 1 server
« Reactie #9 Gepost op: 2011/03/11, 16:46:27 »
http://www.howtoforge.com/hosting-multiple-ssl-web-sites-on-one-ip-address-with-apache-2.2-and-gnutls-debian-lenny

Dus ga me nou niet zeggen dat het niet kan  ???
Anders zouden er nooit verschillende secure sites op 1 machine kunnen draaien bij hosters...
Het is dus mogelijk, al zijn er haken en ogen aan.
Maar als ik wikipedia mag geloven (en dat is gevaarlijk) kan het al sinds 2003.

Alles is mogelijk natuurlijk, maar het streeft zn doel voorbij, want je https site is niet meer veilig op die manier. Dus dan kan je een hoop geld uitgeven aan een duur cert. dat niet de beveiliging bied die je wil hebben.

zie apache docs: http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts

Multiple domain cert is een oplossing, maar niet handig bij een shared hosting partij om de certnaam reden die Rogier al aangeeft.
een let wel "goede" shared hosting aanbieder zal bij een https site altijd een extra IP toewijzen aan de server voor het betreffende domein.

Dus laat ik het anders zeggen. Alles kan, maar het is niet aan te raden.