SNI - mehrere SSL Zertifikate auf einer IP

[kammikaatze]

Hmm, ob das im Richtigen Forum ist weiß ich nicht, aber meine Vermutung liegt darin, das es Plesk ist was das verhindert.

Nun einmal zu meinem Problem.

Ich habe 4 Domains auf zwei IPs im Server, als Adminpanel Plesk 10.3
SNI funktioniert im Apache2 zumindestens im Mozilla Firefox o. Chrome.

Ich habe per Plesk allen Domains ein eigenes Zertifikat zugewiesen, was auch im Firefox korrekt angezeigt wird, für die IPs musste ich ja jeweils auch eines zuweisen, da habe ich das Standard für die Plesk Oberfläche zugewiesen (nicht plesk zertifikat, sondern ein richtiges).

Nun mein Problem.
Im IE 9 o. 8 wird wenn ich eine Domain per SSL aufrufe ein Zertifikatsfehler angezeigt, da er das von den IPs lädt, also das was als Standard auf den IPs liegt, aber laut WIKI soll doch ab IE7 SNI unterstützt werden.

ich weiß nun nicht wo mein Denkfehler ist, aber ich würde eine Lösung benötigen, da es im Firefox o. Chrome funktioniert denke ich mal, das alles soweit richtig eingerichtet ist.

Ich selber habe Ubuntu 10.04 - Plesk 10.3 als Server (Apache 2.2.14-5ubuntu8.4)

Vielleicht könnt Ihr mir weiterhelfen, da ich per google nicht weiter komme, außer das es funktionieren müsste.

Grüße

 

[JaEgErmEistEr]

Hier gibts wohl ähnliche Probleme:

http://answers.microsoft.com/en-us/...indows-7/de189384-cefb-4234-ab95-36a7a5e3d5bc

 

[kammikaatze]

das hatte ich schon gelesen, aber ich finde in meiner registry auch nichts davon, was dort beschrieben steht.

grüße

 

[Whistler]

Im IE 9 o. 8 wird wenn ich eine Domain per SSL aufrufe ein Zertifikatsfehler angezeigt, da er das von den IPs lädt, also das was als Standard auf den IPs liegt, aber laut WIKI soll doch ab IE7 SNI unterstützt werden.

Weil Du nichts dazu geschrieben hast:
Der IE handelt SNI nicht selbst, sondern verläßt sich auf die entsprechenden Funktionen des Betriebssystems.
Deswegen wird SNI im IE nur auf Plattformen ab Vista (also auch 2008 und 7) unterstützt, nicht aber XP.
Andere Browser wie Firefox sind dagegen in dieser Beziehung vom Betriebssystem unabhängig.

 

[kammikaatze]

Weil Du nichts dazu geschrieben hast:
Der IE handelt SNI nicht selbst, sondern verläßt sich auf die entsprechenden Funktionen des Betriebssystems.
Deswegen wird SNI im IE nur auf Plattformen ab Vista (also auch 2008 und 7) unterstützt, nicht aber XP.
Andere Browser wie Firefox sind dagegen in dieser Beziehung vom Betriebssystem unabhängig.

Ich habe Windows 7 mit IE 9 .. und dieser macht es nicht, er zeigt mir immer das zertifikat der IP an, was er ja aber eigentlich nicht bekommen sollte.

 

[d4f]

Aktivier mal SSLStrictSNIVHostCheck, eventuell versucht der Internet Explorer gar nicht erst ein SNI Handshake auf zu bauen.

 

[kammikaatze]

Aktivier mal SSLStrictSNIVHostCheck, eventuell versucht der Internet Explorer gar nicht erst ein SNI Handshake auf zu bauen.

wo sollte das denn hin? da ich sehr viele vhosts habe
wenn ich es in die apache conf lade bekomme ich ein:
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

oO

 

[d4f]

Eigentlich wollte ich sagen RTFM aber es ist nur im Wiki, nicht aber in der offiziellen Dokumentation beschrieben:

If Apache has SNI support, and a request without the SNI hostname is received for a name-based virtual host over SSL, and SSLStrictSNIVHostCheck is on, it will be rejected (403) and this message logged: [...]

Siehe: http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

In anderen Worten: schau nach ob einer der Logfiles den entsprechenden Text aufweist. Wenn ja, dann funktioniert SNI nicht wie gewuenscht. Im Rest des Wikiartikels werden Tuecken und Probleme recht gut beschrieben (u.a. das Zertifikat des Default-vHosts)


Edit: Ein Parameter das nicht an der erlaubten Stelle in der Apache-Config steht laesst "apache2ctl configtest", "apache2ctl graceful" und ein (Re)start des Webservers fehlschlagen. Bei einer .htaccess wird dann eine 500 ausgliefert. Eine 403 kann somit nicht durch die Praesenz eines Parameters (hoechstens durch seine Auswirkung ) ausgeworfen werden.

 

[kammikaatze]

also der apache läuft, demnach funktioniert es

[error] No hostname was provided via SNI for a name based virtual host

finde ich in den logs nicht, ich versteh das ganze nicht so wirklich warum es in dem IE nicht geht, ich werd nicht schlau draus.

ein default ssl wird von plesk ja vorgegeben, den kann ich nicht ändern.

 

[kammikaatze]

ich sehe gerade etwas in den logs was mir nicht gefällt:

[Tue Jul 19 22:59:49 2011] [warn] RSA server certificate CommonName (CN) `www.***.eu' does NOT match server name!?
[Tue Jul 19 22:59:49 2011] [warn] RSA server certificate CommonName (CN) `www.***.eu' does NOT match server name!?
[Tue Jul 19 22:59:49 2011] [warn] RSA server certificate CommonName (CN) `www.***.de' does NOT match server name!?
[Tue Jul 19 22:59:49 2011] [warn] RSA server certificate CommonName (CN) `www.***.eu' does NOT match server name!?
[Tue Jul 19 22:59:49 2011] [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)

hmm, das könnte auch ein fehler sein, aber was sagt dieser mir?