2 SSL Zertifikate 1 IP-Adresse

[GodHunter]

Hallo Community,

ich habe gerade ein kleineres Problem zu bewältigen und wollte vor dem "Kauf" einer 2ten IP Adresse nochmal nachfragen ob es nicht doch irgendwie möglich ist mehrere SSL Zertifikate unter einer IP Adresse zum laufen zu kriegen.

Laut Google soll der Apache2 dies unterstützen, allerdings weiß ich nicht in welcher Version und mit welcher Erweiterung, derzeit nutze ich Debian Lenny mit Apache/2.2.9

 

[Bierteufel]

Es gab vor kurzen mal in einer c't dazu eine Erläuterung / Anleitung.

Hier der Link:

Thema: Mehrere SSL-Zertifikate pro IP-Adresse unter Apache ( c't 23/2009, Seite 174)

http://www.heise.de/kiosk/archiv/ct/2009/23/174

Du brauchst auf jedenfall Apache 2.2.12

MOD_SSL wurde hier um SNI erweitert.

http://de.wikipedia.org/wiki/Server_Name_Indication

und noch ein Link:

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

 

[elias5000]

Das nennt sich SNI.
Laut Wikipedia-Artikel gibt es für XP nur den Firefox, der SNI unterstützt.
Edit: Ja, Opera auch - aber wer benutzt den schon...

Browsers with support for TLS server name indication:
* Mozilla Firefox 2.0 or later
* Opera 8.0 or later (the TLS 1.1 protocol must be enabled)
* Internet Explorer 7 (Vista or higher, not XP) or later
* Google Chrome (Vista or higher, not XP. OS X 10.5.7 or higher on Chrome 5.0.342.1 or newer)
* Safari Safari 3.2.1 and newer on Mac OS X 10.5.6 and Windows Vista or higher, not XP

http://en.wikipedia.org/wiki/Server_Name_Indication#Browsers

Meine Meinung dazu ist, dass man abwarten sollte, bis eine kritische Masse von Leuten von XP auf neuere Versionen migriert haben. Und natürlich damit verbunden auf das Aussterben von IE6, welcher ja immer noch umtriebig ist.

 

[Bierteufel]

Das liegt daran das IE, Safari & Chrome unter WIN XP auf die SNI Unterstützung seitens des Betriebssystems angewiesen sind.

 

[GodHunter]

Das nennt sich SNI.

Meine Meinung dazu ist, dass man abwarten sollte, bis eine kritische Masse von Leuten von XP auf neuere Versionen migriert haben. Und natürlich damit verbunden auf das Aussterben von IE6, welcher ja immer noch umtriebig ist.

Ja aber bei monatlich 3€ Mehrkosten für eine 2te IP-Adresse würde ich das in Kauf nehmen...

Apache 2.2.12 scheint unter lenny allerdings noch nicht lauffähig zu sein, daher werde ich das dann wohl in Kauf nehmen müssen...vorerst.

 

[elias5000]

Solange in den Geizmärkten noch Klapprechner mit XP verkauft werden und die Verkäufer diese gegenüber Geräten mit Win7 bevorzugt empfehlen (gestern erst erlebt), dürfte das Thema SNI also noch auf Eis liegen.

 

[Bierteufel]

In der libssl.so des bei Lenny eingesetzten OpenSSL ist SSL_get_servername schon aktiviert, so dass nur der Apache2 neu kompiliert werden muss.

 

[GodHunter]

Hi,

da ich mir einen neuen Server gegönnt habe wollte ich nun doch gerne auf SNI umstellen. Debian Squeeze läuft bereits und Apache 2.2.16 ist ebenfalls installiert. Die 2 Zertifikate die ich besitze habe ich habe ich auf den neuen Server transferiert, nun ist nur die Frage wie die Zertifikate eingebunden werden ...

Also normalerweise würde ich ja nur die Einträge in den vHosts setzen, ist damit schon alles getan oder muss ich noch irgendwas am mod_ssl verändern um SNI zu aktivieren o.ä.?

 

[Joe User]

Du brauchst nur SNI global in der httpd.conf aktivieren und die SSL-VHosts mit den Zertifikaten versorgen, siehe Apache-Doku.