Frage, unterschiedliche SSL Zertifikate

D

Domi

Member
Hallo Leute, ich habe eine kleine Frage...
Auf meinem vServer existieren zwei Domains mit SSL Zertifikaten. Die wichtigere Domain (example1.com) hat das "GeoTrust DV SSL CA" und die andere Domain (example2.com) hat ein "RapidSSL CA" Zertifikat.

Die Domain mit dem kleinen RapidSSL Zertifikat beinhaltet das Piwik Analyse-Tool, welches auf example1.com eingebunden ist.

Heute hatte ich einen Besucher auf der Seite wo das RapidSSL Zertifikat zwecks Vertrauenswürdigkeit gemeckert hat. So als wenn es ein selbst signiertes Zertifikat ist... kann mir jemand ungefähr sagen woher das Problem kommen könnte oder wonach ich gucken könnte?

Ich habe einmal die Zertifikat-Details als Screenshot angefügt und hoffe damit kann man schon etwas anfangen. Falls ich doch etwas wichtiges vergessen habe, fragt kurz... vielleicht kann man dann aufklären, woher das Problem kommt :)

Gruß, Domi
 

Attachments

  • ssl-cert.jpg
    ssl-cert.jpg
    184 KB · Views: 180
Hast du die Zertifikate per Sni auf einer einzigen Ip installiert? Es gibt jede Menge Systeme die das nicht können, u.a. Windows Xp + IE oder Android < 3.0
Leider gibst du absolut keine Infos somit ist ein Test unmöglich.
 
Also die Domains sind auf unterschiedlichen IPs erreichbar und die SSL Zertifikate sind in den VirtualHost Dateien jeder Domain eingetragen.
Code: 
<IfModule mod_ssl.c>
<VirtualHost *:443>
 ServerAdmin admin@example2.com
 ServerName www.example1.com
 ServerAlias example1.com

 SSLEngine on
 SSLCertificateKeyFile /srv/vhosts/keys/example1.com.key
 SSLCertificateFile /srv/vhosts/keys/example1.com.crt
 SSLCertificateChainFile /srv/vhosts/keys/example1.com.ca

 DocumentRoot /srv/vhosts/example1.com/httpsdocs
 <Directory /srv/vhosts/example1.com/httpsdocs/>
  Options -Indexes FollowSymLinks MultiViews
  AllowOverride AuthConfig FileInfo
  Order allow,deny
  allow from all
 </Directory>

 # Possible values include: debug, info, notice, warn, error, crit,
 # alert, emerg.
 LogLevel warn

 CustomLog /srv/vhosts/example1.com/logs/ssl-access.log combined
 ErrorLog /srv/vhosts/example1.com/logs/ssl-error.log
</VirtualHost>
</IfModule>
Code: 
<IfModule mod_ssl.c>
<VirtualHost *:443>
 ServerAdmin admin@example2.com
 ServerName www.example2.com
 ServerAlias example2.com

 SSLEngine on
 SSLCertificateKeyFile /srv/vhosts/keys/example2.com.key
 SSLCertificateFile /srv/vhosts/keys/example2.com.crt
 SSLCertificateChainFile /srv/vhosts/keys/example2.com.ca

 DocumentRoot /srv/vhosts/example2.com/httpsdocs
 <Directory /srv/vhosts/example2.com/httpsdocs/>
  Options -Indexes FollowSymLinks MultiViews
  AllowOverride All
  Order allow,deny
  allow from all
 </Directory>

 # PHP Settings
 php_value memory_limit 1024M
 php_value suhosin.log.syslog.priority 5
 php_value suhosin.get.max_value_length 512

 # Possible values include: debug, info, notice, warn, error, crit,
 # alert, emerg.
 LogLevel warn

 CustomLog /srv/vhosts/example2.com/logs/ssl-access.log combined
 ErrorLog /srv/vhosts/example2.com/logs/ssl-error.log
</VirtualHost>
</IfModule>
Hilft Dir das schon ein wenig weiter was die Informationen angeht?

Nachtrag: Der Besucher verwendete den Firefox mit Windows 7, soviel konnte ich noch sagen. Ich habe diese Information selbst nur von einem Mitarbeiter weitergeleitet bekommen. Was also noch für Tools installiert waren, weiß ich leider nicht...
 
Last edited by a moderator:
*:443 und unterschiedliche IPs passt nicht so recht zusammen. *:443 bindet alle Interfaces, nicht nur eine bestimmte IP.

Du solltest bei einem IP1:443 und beim anderen IP2:443 im VirtualHost eingetragen haben. Dann bindet der entsprechende VirtualHost nur diese IP.

Wenn das richtige Zertifikat präsentiert wurde, aber trotzdem gemeckert wurde, kann es ein, dass das Intermediate-CA-Cert nicht korrekt ist.
 
Ahh.. Okay, dem DNS habe ich die unterschiedlichen IPs verraten.. dem Apache habe ich die Wildcard verpasst, dann schauen wir mal was passiert wenn ich das anpasse.

Ich vermute mal in der ports.conf muss ich dann auch folgendes einsetzen, richtig..?
Code: 
<IfModule mod_ssl.c>
 NameVirtualHost IP1:443
 NameVirtualHost IP2:443
 Listen 443
</IfModule>

Was mich in diesem Fall interessiert.. ich habe einen kleinen vServer für mich privat bei Hetzner mit einer IP Adresse, kann ich für zwei oder drei Domains auf diesem Server SSL einrichten, obwohl ich nur eine IP habe?

Nachtrag: Okay, dass mit der ports.conf habe ich selbst gelöst. Würde mich jetzt nur einmal interessieren, ob man mehreren Domains auf der selben IP SSL verpassen könnte.
 
Last edited by a moderator:
Domi said:
Nachtrag: Okay, dass mit der ports.conf habe ich selbst gelöst. Würde mich jetzt nur einmal interessieren, ob man mehreren Domains auf der selben IP SSL verpassen könnte.
Click to expand...
Ja. Allerdings weiß ich nicht, ob mod_ssl das kann. Ich habe das auf meinem VPS per mod_gnutls eingerichtet und das war mehr als einfach. Das funktioniert damit eigentlich out-of-the-box. Einfach ganz normal NamedVirtualHosts einrichten und dann die VHosts konfigurieren.
Die SSL-Direktiven heißen etwas anders und es gibt kein explizites File für die intermediate-CA sondern man wirft einfach das Cert und die CA zusammen in eine Datei.

Alle zeitgemäßen Clients können damit eigentlich umgehen. Der Rest ist eben Kollateralschaden. Aber besser als gar nicht mehrere Hostnames per IP fahren zu können.

BTW: Wenn du nur einen VHost per IP:Port hast, kannst du die die NamedVirtualHost-Direktiven auch sparen.
 
Das mod_gnutls und deren Einbindung gucke ich mir auf einem Testsystem mal an. Das klingt nämlich auch interessant!

BTW: Wenn du nur einen VHost per IP:Port hast, kannst du die die NamedVirtualHost-Direktiven auch sparen.
Click to expand...
Wie ist das genau gemeint?

Gruß, Domi

p.s. Meine erste Annahme war, dass es Probleme mit dem Zertifikat selbst gibt.. denn das Zertifikat was bemängelt wurde, kostete glaube ich 40 Euro für drei Jahre.. oder so und das hätte ich gerne privat für mein vServer und dessen Email System genommen
 
Domi said:
Wie ist das genau gemeint?
Click to expand...
So wie es da steht. Wenn du nur einen VHost per IP/Port-Kombination laufen hast, dann ist "NamedVirtualHost IP:Port" überflüssig.

Wenn du eine tiefere Analyse deines Problems haben willst, musst du mehr Infos rausrücken. Die genaue Fehlermeldung z.B.
 
Was mich in diesem Fall interessiert.. ich habe einen kleinen vServer für mich privat bei Hetzner mit einer IP Adresse, kann ich für zwei oder drei Domains auf diesem Server SSL einrichten, obwohl ich nur eine IP habe?
Click to expand...
Ist z.B. problemlos durch Multi-Domain Zertifikate möglich.
 
elias5000 said:
Wenn du eine tiefere Analyse deines Problems haben willst, musst du mehr Infos rausrücken. Die genaue Fehlermeldung z.B.
Click to expand...
Ist etwas schwierig... Meine Kollegin sagte mir um 9:30 heute Vormittag, dass bei einem Besucher in seinem Firefox die Information kam dass das Zertifikat nicht vertrauenswürdig ist.

Dann habe ich alles von 9:30 plus minus 5min in der access.log und der error.log für die SSL Verbindungen geprüft, aber nichts gefunden... was eigentlich etwas komisch ist. Bei meinem Glück hat der Kunde auch schon viel früher angerufen, mir sagte man später bescheid und jetzt darf ich alles absuchen.

Ich habe erst einmal feste IPs für die Domains eingetragen... meine Kollegin soll dem Besucher morgen bescheid geben und er soll es noch einmal erneut prüfen. Meine Kollegen, zwei Kumpels und ich haben dieses Problem / Phänomen leider nicht gehabt.. sonst könnte ich es erneut produzieren und im Log genauer nach schauen :o

Gruß, Domi

p.s. Für den privaten Gebrauch wäre ein Multi-Domain Zertifikat vermutlich doch etwas über dimensioniert... also vom Preis.
 
Für den privaten Gebrauch wäre ein Multi-Domain Zertifikat vermutlich doch etwas über dimensioniert... also vom Preis.
Click to expand...
Da kann man auf StartSSL verweisen. 60€/Jahr für soviele Zertifikate wie das Herz begehrt.

Ich rate mal zu deinem Problem wild, und gehe davon aus dass du durch das Wildcard der IP in der Apache Config SNI gebastelt hast und der Besucher auf einem Endgerät oder hinter einer Firewall steckt welches dies nicht beherrscht.
 
d4f, die auf StartSSL Class 2 basierenden Zerts sind sogar 2 Jahre gültig.
Das relativiert den Preis dann nochmal :)
 
Moin Leute, ich habe mal eben eine kleine Verständnis frage...
In der Vergleichstabelle von StartSSL habe ich gerade mal geguckt... ich vermute mal, Ihr meint das "StartSSL™ Identity Verified" für meinen Zweck, oder?

Wenn ich Euch also richtig verstehe, kann ich mit der Option "Multiple Domains (UCC)" ein Zertifikat für example1.com, example2.com und example3.com erstellen. Und die Option "Wild Card Capability" besagt doch nur das ich ein Zertifikat für *.example1.com anlegen kann und mich nicht beschränken muss auf www.example1.com, ist das richtig?

Dann hätte ich wohl so ein Zertifikat schon lange mal organisieren sollen... :D
 
Schon richtig, kann man auch wunderbar kombinieren :)
Also mehrere Wildcard-Domains in einem Zertifikat.

Das Class2 Verfahren ist auch recht flott. Keine 5 Minuten nach Bezahlung via PP bekam ich den Verifizierungsanruf aus den USA (der Kerl war heilfroh, dass ich ihm anbot in seiner Sprache zu bleiben ;) )
 
schnoog said:
Das Class2 Verfahren ist auch recht flott. Keine 5 Minuten nach Bezahlung via PP bekam ich den Verifizierungsanruf aus den USA (der Kerl war heilfroh, dass ich ihm anbot in seiner Sprache zu bleiben ;) )
Click to expand...
Ah.. Gut zu wissen, mit dem Anruf. Dann kann ich das für die Firma noch nicht beantragen, da ich krankheitsbedingt Zuhause bin und das noch etwas andauern wird :D

Mal ein wenig belesen wie das mit den Multi-Domain Zertifikaten funktioniert. Habe bis dato pro Domain ein einzelnes Zertifikat erstellt das noch nicht einmal Wildcard fähig war.

Nachtrag: Öhm... Was ich gerade sehe sind die Identitätskontrollen...
Es ist wichtig, daß alle Detail offenbar lesbar sind, wie z.B.:
1.) Der Umschlag Ihres Passes
2.) Die ersten Seiten des Passes
3.) Die Abbildung von Ihnen mit Ihren persönlichen Detail Ihres Passes

und

1.) Beide Seiten Ihres Personal- oder Führerausweises oder ähnliche Papiere

Falls Sie auch den Firmennamen in der Bescheinigung inbegriffen haben möchten, dann bereiten Sie auch solche Beweisstücke wie der Auszug von Handelsregister usw. vor.
Click to expand...
Ich vermute mal, Du hast nur den Personalausweis eingereicht, oder? Einen Reisepass besitze ich nämlich nicht.. :(
 
Last edited by a moderator:
Reisepass ist nicht notwendig. Wenn ich mich richtig erinnere reichen 1 oder 2 offizielle Dokumente der Wahl wie Personalausweis.

Gut zu wissen, mit dem Anruf.
Click to expand...
Die fragen vorher per E-Mail nach ob sie anrufen dürfen/können =)
Die Nummer wird übrigens aus dem Telefonbuch genommen, entsprechend musst du aufpassen dass es unter der Adresse einen Eintrag gibt - ansonsten geht es afaik per Brief.
 
Spitze... Schon mal tausend Dank für die Informationen die ich bis dato von Euch erhalten habe! :)

Allerdings stehe ich nicht im Telefonbuch drin... :D
Aber da ich mich dann zweimal identifizieren muss...
1x Identitäts-Überprüfung (für mich privat)
1x Identitäts- und Organisations-Überprüfung (für die Firma wo ich arbeite)

wird man mich wohl bei der Organisationsprüfung telefonisch versuchen zu erreichen. Blöde das ich das vorher noch nicht wusste, da habe ich meine Zertifikate immer bei regfish bestellt. Ich hätte bestimmt ein paar Euro einsparen können für die Firma :D

Alleine für ein Zertifikat mit drei Jahre Gültigkeit habe ich um die 240 Euro bezahlt und das habe ich zwei mal ausgeführt... und ein drittes Zertifikat soll auch noch hinzu kommen. Dann kann ich ja schon mal was einsparen :)
 
Hat jemand von euch schon mal die Adresse der Identity bei denen geändert? Ich habe zwei Wohnsitze und einen davon ändere ich demnächst auch noch und deshalb hatte ich mal geschaut ob man das ändern kann und fand absolut nichts im UI, was danach aussah.
 
Hm.. Vielleicht mal den Support anschreiben, dass sie doch bitte die Anschrift anpassen möchten. Mein Englisch ist zwar nicht das beste, aber bei allem was ich wissen wollte, konnte man mir helfen. Und auch die Telefon Überprüfung ist trotz meinem gebrochenen Englisch recht easy gewesen.

Ich habe aber noch mal eine kleine Frage zu den Zertifikaten von StartSSL. Die "Class 2 Validierung" ist bei mir erledigt und ich wollte gerne eine Wildcard (*.domain.tld) für eine Domain erstellen, aber bei dem Wizard zum erstellen von SSL / TLS Zertifikaten kann ich wohl kein Stern für eine Wildcard eingeben. Reicht der "Common Name" Eintrag beim CSR erstellen und bei StartSSL gebe ich dann www bei Add Domain ein? :o

Der nächste Step wäre dann noch, ich kann zusätzliche Domains mit angeben. Ist DAS für ein Multi-Domain Zertifikat der Punkt den ich benötige? :)

Gruß, Domi

Nachtrag: Ach ja, wenn man eine persönliche Identifizierung der Class 2 abgelegt hat und anschließend die Firmen Identifikation der Class 2 hinterlegt hat, kann man dann eigentlich auswählen ob man ein SSL Zertifikat für persönlich oder Firma erstellen möchte?
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top