Standard SSL-Zertifikat wird nicht verwendet

groove21

groove21

New Member
Hallo zusammen,

ich habe einen Debian 7 Server mit Plesk 11. Auf dem Server laufen auch mehrere Zertifikate, das funktioniert soweit.
Als Standard SSL-Zertifikat in Plesk habe ich serverdomain.de gesetzt und das auch unter IP-Adressen für die entsprechende IP ausgewählt.
Ruft man im Browser nun eine nicht existierende Subomain über SSL auf, z.B. https://asdf.serverdomain.de kommt folgende Warnung:

Beim Versuch, auf asdf.serverdomain.de zuzugreifen, haben Sie einen Server erreicht, der sich *.kundendomain.de nennt. Dies kann an einer fehlerhaften Konfiguration liegen, jedoch auch schwerwiegendere Ursachen haben. Möglicherweise versucht ein Hacker, Sie auf eine gefälschte und potenziell gefährliche Version von asdf.serverdomain.de zu locken.
Click to expand...

Warum verweist Plesk jetzt auf das Zertifikat einer Kundendomain und nicht auf das Standard-Zertifikat des Servers?

Habe ich vergessen eine Einstellung zu ändern?

Vielen Dank im Voraus für die Hilfe!
 
Das kann an Deiner Apache Konfiguration liegen, das nicht existierende Domain zu einer Kunden Domain gelangen.


Welche Seite bekommst Du dann angezeigt?
Was hast Du als default Seite eingestellt?
 
Last edited by a moderator:
Hallo,

danke für deine Antwort. Ich habe bei meiner IP als Sandarddomain meine Serverdomain.

wenn ich nun eine nicht existierende Seite eingebe. Z.B. http://asdasdad.serverdomain.de eingebe leitet er die Anfrage auf das SSL-Zertifikat von meiner Kundendomain.de

Beim Aufruf von http://asdasdad.serverdomain.de haben Sie eine einen Server erreicht, der sich kundendomain.de nennt.......

Was ist nicht verstehe? Warum wird das falsche Zertifikat verwendet? Das Zertifikat der Kundendomain steht auch nur im Cotrol Panel des Kunden. Im Plesk Admin-Panel lediglich das Server-Zertifikat von serverdomain.de

Ich habe eben folgendes festgestellt: Wenn ich für Kundendomain eine Catchall-Subdomain einrichte (*.kundendomain.de), dann werden alle Anfragen von nicht existenten Subdomains auf das Server-Standard-Zertifikat gelenkt. So wie es sein muss.
Lösche ich die Catchall-Subomain allerdings wieder, besteht nach wie vor das gleiche Problem.
Aber es kann doch nicht generell des Rätsels Lösung sein, dass ich für jede bestehende/künftige Domain eine Catchall-Rule anlegen muss?!

Kann sich das jemand erklären?

Gruß
 
Vielleicht nutzt Du Name-based Virtual Hosts und die Kundendomain ist der erste Virtual Host auf der IP.

--
.A.
 
Du hast meine Fragen nicht beantworte, also noch mal
Welche Seite bekommst Du dann angezeigt?
Was hast Du als default Seite eingestellt?
Click to expand...

Info:
Unter IP Adressen SSL-Zertifikat, das wird benutzt wenn keine default Adresse festgelegt ist. Weiterleitung zur Fehlerseite.
Die default Adresse wird für alle nicht existierenden Domains benutzt. Hierbei wird das SSL-Zertifikat der default Seite verwendet und diese wird dann angezeigt.

Bei mehren IP-Adressen ist dies für jede IP-Adresse festzulegen.

Beim Betrieb von IPv6 und IPv4 als dual Stack ist dies auch zu beachten.

Beispiel mein Client (Home-Rechner) greift mit IPv6 auf das Internet zu, dann greift die Regel für IPv4 nicht, da ich für IPv6 einen Wildcard Subdomain Eintrag im DNS festgelegt habe. Existiert dieser Eintrag für IPv6 nicht, dann greift die IPv4 Regel.

Hast du mehrere IPv4 so ist die default IP die verwendet wird fetter angezeigt.

Die default IP kann man glaube ich über das Panel nicht ändern, steht in der Datenbank psa/IP_Addresses Tabellenspalte main.
 
Hallo rolapp,

danke für deinen ausführlichen Post. Zur Beantwortung deiner Fragen (ich dachte das wäre aus dem ersten Post deutlich hervorgegangen):

Wenn ich eine nicht existierende Subdomain aufrufe, dann kommt die Sicherheitswarnung des Browsers, welche davor warnt, dass beim Aufruf der nicht existierende Subdomain (asdasdas.kundendomain1.de) eine Webseite erreicht wurde, die sich kundendomain2.de nennt....... (falsches SSL-Zertifikat)

Wobei kundendomain2.de immer auftaucht, egal welche nicht existierende Subdomain ich aufrufe (egal von welchem Kunden serverweit)

kundendomain2.de wird erst durch die serverdomain.de ersetzt, wenn ich für die kundendomain2.de eine Catchall-Subdomain einrichte, was ja nicht Sinn der Sache sein kann.


Nochmal zum Verständnis: Ich bekomme immer die Sicherheitswarnung des Browsers, was ja auch richtig ist. Es geht hier um die Frage, welches Zertifikat in der Sicherheitswarnung verwendet wird. Das sollte das Standard-Server-Zertifikat sein und nicht kundendomain2.de

Als Default-Seite meiner einigen ipv4-Server-IP habe ich serverdomain.de eingerichtet. Ebenso ist bei dieser IP das Server-Standard-Zertifikat hinterlegt (nicht das Zertifikat kundendomain2.de, das ist im Panel des jeweiligen Kunden eingerichtet; im Admin-Panel habe ich lediglich das Server-Zertifikat installiert)

Ich hoffe, ich konnte deine Fragen jetzt zufriedenstellend beantworten.

Gruß
 
Dann stimmt deine default Seite nicht.

Schau mal im Verzeichnis /etc/apache2/plesk.d/ip_default nach. Da sollte die conf Datei deine Standartseite sein. (domain.conf) Das gilt für Plesk 11.05.30

Du kannst auch mal den Befehl in der Konsole eingeben, das liest die config neu ein.
Code: 
usr/local/admin/sbin/httpdmng --reconfigure-all

Info:

Die Apache Konfigurationen werden in alphabetischer Reihenfolge gelesen, wer zu erst kommt malt zuerst. Wird jetzt nichts passendes gefunden, also für nicht existierende subdomains wird dann der erste Eintrag genommen . Was bei Dir Deine Kundendomain ist.

Hast du eine andere Plesk Version musst Du die default-ssl aktivieren

In de Konsole
Code: 
a2ensite default-ssl
service apache2 restart

default-ssl kann auch 000-default-ssl heisen.

Dein Problem liegt auf jeden Fall an der Virtuell-Host Konfiguration
 
You must log in or register to reply here.
Back
Top