SSL in Apache 2.0.44

Sergej Rinc sergej at rinc.ws
Wed Apr 2 03:00:43 CEST 2003


>> Ajde, ne pametujte. SSL ne dela z virtual hosts in ne more delat, ker se
SSL
>> hanshake zgodi preden se poslje header z domeno/virtual host.

>Gregor, ti se nehaj delat pametnega, ker pocasi najedas.

>1) Pri NameVirtualHost (mnogo hostov na 1 IP) imas lahko *vec*
>VirtualHostov, ce imas wildcard certifikat (*.domena.si) .. Imas lahko
>torej en sam in isti certifikat ter na njega preko https obesene
>www.domena.si, sexshop.domena.si ter blog.domena.si ter se 30 drugih
>(odvisno od licence, ki si jo kupil za wildcard certifikat)

  Gre tudi brez wildcardov. Vsaj dve moznosti:

- TLS Upgrade (<http://www.ietf.org/rfc/rfc2817.txt>), host je tako znan
pred "handshakeom" SSL, tezava je, da mora klient (brskalnik) poslati
zahtevo Upgrade in seveda podpora v brskalniku (ceprav implementacije ze
obstajajo),

- resitev a la <http://www.luni.org/pipermail/luni/2002-August/006615.html>
in z vecjimi skatlami (Big/IP) za redirekcijo na ustrezni virtualni host.

>2)Ce imas en pool IP-jev in das na vsak IP en host, lahko tudi to
>Apache servira kot VirtualHost-e, pac vsakega na svojem IP-ju, vse na
>portu 443 in dela tip-top, tudi z 'navadnimi' certifikati (torej
>eksplicitno www.domena2.si)

  Lahko imas tudi le en IP in virtualne hoste s certifikati SSL na razlicnih
portih (certifikat je vezan le na domensko ime hosta, ne na IP ali port).
Problem je direktni vpis https://www.domena.si (brez porta) in seveda ena
ali vec pozarnih pregrad / zaprtih portov na poti od brskalnika do
streznika.

  Za razlicno SSL povezavo (certifikat) je pac zahtevana razlicna
kombinacija IP/port, ne zgolj IP. Zal https:// prefix pomeni povezavo na
portu 443, ce ni port dodan v URL-ju ... Zaradi pozne ure sem se morda tudi
kje zmotil.

  Kostko pa mora imeti v httpd.conf:

- SSL Global Context
- <VirtualHost _default_:443> s ponovljeno konfiguracijo virtualnega hosta,
za katerega zeli SSL, ter vsemi direktivami za SSL (SSLCertificateFile,
SSLCertificateKeyFile, ...)
- <VirtualHost _default_:*>

  ter seveda zagotoviti le za root berljivi nekriptiran server.key
(SSLCertificateFile) za avtomatsko restartanje apacheja (sicer je potrebno
vtipkati geslo - <http://www.modssl.org/docs/2.8/ssl_faq.html#ToC31> - ali
se pozabavati z SSLPassPhraseDialog) in zaganjati apache z opcijo SSL.

<s:rinc.ws /> Certified Doc-To-Help Trainer
Master XML, Master XSL, Master WAP
http://sergej.rinc.ws




More information about the lugos-list mailing list