Apache 2.2 + SSL Zertifikate

Computer: Software & Programmierung Server-Software
#1

Hallo zusammen,

ich habe unter meiner Hauptdomain ein paar Subdomains welche ich teilweise über https anspreche. Das einrichten und konfigurieren war bisher kein Problem, dachte ich.

Meine Zertifikate habe ich bei CAcert.org ‚unterschreiben‘ lassen.

Wenn ich nun auf die Subdomains zugreife, mein Standardbrowser ist Opera, wird mir auch das richtige Zertifikat für die jeweilige Subdomain angezeigt. Ebenso beim Firefox. Da ich IE außer für Intranetseiten der Firma privat nie nutze, ist mir folgendes Fehlverhalten erst kürzlich bei Verwendung eines Mobilbrowsers aufgefallen:

Wenn ich mir das Zertifikat anzeigen lassen (IE, versch. Mobilbrowser) wird mir immer das falsche angezeigt.
Ich glaube es war ‚damals‘ die erste Subdomain, welche ein SSL Zertifikat verpasst bekam.

Jetzt meine Frage, mit Apache 2.2 und OpenSSL 0.9.8f (ich habe o) sollte eine Multiverwaltung von SSL Zertifikaten möglich sein.
Warum zeigt er mir dann unter verschiedensten Browsern das falsche an?

Fehlkonfiguration meines Indianers oder können die Browser etwas nicht richtig.

Danke für jegliche Info.

Gruß Tobias

#2

Jetzt meine Frage, mit Apache 2.2 und OpenSSL 0.9.8f (ich habe
o) sollte eine Multiverwaltung von SSL Zertifikaten möglich
sein.
Warum zeigt er mir dann unter verschiedensten Browsern das
falsche an?

Fehlkonfiguration meines Indianers oder können die Browser
etwas nicht richtig.

Mobil und InternetExplorer … warum redest du also von verschiedenen Browsern , wenn doch FireFox und Opera kein prob machen. Was sagen den Mobile FireFox und Operas dazu . Ich hatte noch nie ein Mobielen IE sonst würd ichs glatt ausprobieren.

#3

Naja es betrifft verschiedenste Browser.
Evtl. habe ich mich undeutlich ausgedrückt, entschuldige.

Aufgefallen ist es mir bei einem mobilen IE, welcher das Zertifikat anmängelte und beim anzeigen eben eins anzeigte von einer Subdomain.

Danach habe ich dieses Verhalten mit meinen Desktopbrowsern überprüft.
Opera und Firefox zeigen das richtige an: DN=Subdomainname (Zertifikatsname)
IE und Netscape zeigen das falsche an. Das DN!=Subdomainname.

Jetzt eben meine Frage.
Spinnen die Browser rum, kann beim IE durch aus mal vorkommen, oder ist meine SSL Konfiguration schief?

ps. beim IE bzw. Netscape ist es egal welche Subdomain ich öffne, er zeigt immer das falsche an.

Ich hoffe ich konnte es jetzt ein wenig rüber bringen.

Danke und Gruß
Tobias

#4

Hallo,

ich habe unter meiner Hauptdomain ein paar Subdomains welche
ich teilweise über https anspreche.

Subdomains als VirtualHosts auf derselben IP?

Meine Zertifikate habe ich bei CAcert.org ‚unterschreiben‘
lassen.

Ein Zertifikat mit mehreren SubjectAltNames oder mehrere Zertifikate auf unterschiedlichen IPs oder über SNI?

Wenn ich mir das Zertifikat anzeigen lassen (IE, versch.
Mobilbrowser) wird mir immer das falsche angezeigt.

Verstehe ich Dich richtig, dass eine Sicherheitswarnung wegen Ungleichheit von Hostnamen und Servernamen im Zertifikat ausgegeben wird?


PHvL

#5

Hi,

Subdomains als VirtualHosts auf derselben IP?

Richtig.

Ein Zertifikat mit mehreren SubjectAltNames oder mehrere
Zertifikate auf unterschiedlichen IPs oder über SNI?

Eigentlich sollte der Indianer das über SNI machen, bringt er ja mit.

Verstehe ich Dich richtig, dass eine Sicherheitswarnung wegen
Ungleichheit von Hostnamen und Servernamen im Zertifikat
ausgegeben wird?

Richtig.
Ich bekomme die Info wenn ich mit dem IE, Netscape oder verschiedenen Mobilebrowsern die Seite aufrufe, das dieses nicht mit dem Servernamen übereinstimmt. Was ja auch richtig ist, da er das falsche Zertifikat zieht. Und das bei jeder Subdomain.

abc.server.de > Zertifikat 101.server.de
yxz.server.de > Zertifikat 101.server.de
101.server.de > Zertifikat 101.server.de

Opera und Firfox zeigen das richtige jedoch an.

Danke.
Gruß Tobias

#6

Hallo,

Ein Zertifikat mit mehreren SubjectAltNames oder mehrere
Zertifikate auf unterschiedlichen IPs oder über SNI?

Eigentlich sollte der Indianer das über SNI machen, bringt er
ja mit.

ältere Browser können das aber nicht. Da diese den Hostnamen nicht vor Aufbau der verschlüsselten Verbindung senden, bleibt dem Apachen nichts anderes übrig, als das erste Zertifikat zu nehmen, das er zur Hand hat.

Opera und Firfox zeigen das richtige jedoch an.

… die können auch SNI – vgl. z. B. CAcert-Wiki.


Schöne Grüße
PHvL

#7

abc.server.de > Zertifikat 101.server.de
yxz.server.de > Zertifikat 101.server.de
101.server.de > Zertifikat 101.server.de

Opera und Firfox zeigen das richtige jedoch an.

Danke.
Gruß Tobias

Hmm wie hast du das denn configuriert ?

so wie hier ?

#8

Hi,

… die können auch SNI – vgl. z. B. CAcert-Wiki.

Okay, damit kann ich leben aber, warum zeigt IE in der Version 8 dieses immer noch falsch an?

Das erste was er bekommt und das sicherlich nach alphabetischer Reihenfolge?

Grüße

#9

Hi,

Hmm wie hast du das denn configuriert ?

so wie hier ?

Nicht genau nach der, aber danke für den Link, ich hatte mich an mein ‚dickes‘ Apache Buch gehalten.

Grüße

#10

Hallo,

… die können auch SNI – vgl. z. B. CAcert-Wiki.

Okay, damit kann ich leben aber, warum zeigt IE in der Version
8 dieses immer noch falsch an?

das „ab Version 7“ gilt leider nur ab Vista nicht für XP – vgl. http://blogs.msdn.com/b/ie/archive/2005/10/22/483795…

Das erste was er bekommt und das sicherlich nach
alphabetischer Reihenfolge?

Das erste aus der Konfiguration.


Schöne Grüße
PHvL

#11

Hi,

das „ab Version 7“ gilt leider nur ab Vista nicht für XP
– vgl.
http://blogs.msdn.com/b/ie/archive/2005/10/22/483795…

Hast du das gewusst oder extra rausgesucht?
Vielen Dank für die Info!

Das erste was er bekommt und das sicherlich nach
alphabetischer Reihenfolge?

Das erste aus der Konfiguration.

Hmm, ich steh grad auf dem Schlauch.
Welcher Konfiguration? Da ich pro V-Host eigene Konfigs habe.

Danke und Gruß
Tobias

#12

Hallo,

das „ab Version 7“ gilt leider nur ab Vista nicht für XP
– vgl.
http://blogs.msdn.com/b/ie/archive/2005/10/22/483795…

Hast du das gewusst oder extra rausgesucht?

das steht auch im CAcert-Wiki (etwas weiter oben) inklusive Link.

Das erste aus der Konfiguration.

Hmm, ich steh grad auf dem Schlauch.
Welcher Konfiguration? Da ich pro V-Host eigene Konfigs habe.

Debian? Da ist die Konfigurationsdatei quasi nur in mehrere Dateien aufgeteilt, um das ganze übersichtlicher/eleganter zu gestalten. Die einzelnen Dateien werden entsprechend des Dateinamens nacheinander eingelesen (bzw. der Name des symbolischen Links in /etc/apache2/sites-enabled).


Schöne Grüße
PHvL

#13

Hallo,

das steht auch im CAcert-Wiki (etwas weiter oben) inklusive
Link.

Ach du … den Scrollbalken seh ich jetzt erst.
Sah aus wie eine Seite … sorry!

Debian? Da ist die Konfigurationsdatei quasi nur in mehrere
Dateien aufgeteilt, um das ganze übersichtlicher/eleganter zu
gestalten. Die einzelnen Dateien werden entsprechend des
Dateinamens nacheinander eingelesen (bzw. der Name des
symbolischen Links in /etc/apache2/sites-enabled).

Richtig. Du solltest Lotto spielen :wink:
Jud, sind wir also doch beim Alphabet.

Das Thema SNI fühlt sich alt an, dabei steckt es noch in den Kinderschuhen.

Ich wünsch dir ein schönes Wochenende und ein frohes Fest.
Gruß Tobias.