---

jeg kører med namebased virtualhosts på min linuxmaskine.

Nu er problemet så, at den ikke rigtig kan finde ud af at bruge
forskellige certifikater til de forskellige hosts.

Det ser umidelbart ud til at det er den sidste virtualhost den tager
certifikatet fra, også efter at jeg, som apache selv bad mig om...,
har tilføjet en NameVirtualHost

hvad kan jeg ha glemt ?

---

"Mickey" <news001@susie.dyndns.dk> writes:

> jeg kører med namebased virtualhosts på min linuxmaskine.
>
> Nu er problemet så, at den ikke rigtig kan finde ud af at bruge
> forskellige certifikater til de forskellige hosts.
>
> Det ser umidelbart ud til at det er den sidste virtualhost den tager
> certifikatet fra, også efter at jeg, som apache selv bad mig om...,
> har tilføjet en NameVirtualHost
>
> hvad kan jeg ha glemt ?

Intet, man kan ikke have mere end et certifikat pr. port pr. maskine.
Den krypterede forbindelse (med check af certifikat osv.) bliver
etableret *før* browseren i sit request fortæller webserveren hvilken
host den prøver på at kontakte.

Hvis du vil køre flere virtual hosts på samme port på samme maskine skal
du bruge samme certifikat til alle hosts og for at browseren ikke brokker
sig over at hostnavn og certifikat ikke stemmer overens skal du have et
site-certifikat og alle dine virtual hosts skal være i samme
subdomæne. Men det er ret grimt at sætte den slags op så undgå det hvis
du kan.

--
Finn Nielsen

---

"Finn Nielsen" <mmallq@groenjord.dk> skrev i en meddelelse
news:m3n1bzvj1i.fsf@ares.zznyyd.dk...
> "Mickey" <news001@susie.dyndns.dk> writes:
>
> > jeg kører med namebased virtualhosts på min linuxmaskine.
> >
> > Nu er problemet så, at den ikke rigtig kan finde ud af at bruge
> > forskellige certifikater til de forskellige hosts.
> >
> > Det ser umidelbart ud til at det er den sidste virtualhost den
tager
> > certifikatet fra, også efter at jeg, som apache selv bad mig
om...,
> > har tilføjet en NameVirtualHost
> >
> > hvad kan jeg ha glemt ?
>
> Intet, man kan ikke have mere end et certifikat pr. port pr.
maskine.
> Den krypterede forbindelse (med check af certifikat osv.) bliver
> etableret *før* browseren i sit request fortæller webserveren
hvilken
> host den prøver på at kontakte.

okay... - godt at vide ;)

>
> Hvis du vil køre flere virtual hosts på samme port på samme maskine
skal
> du bruge samme certifikat til alle hosts og for at browseren ikke
brokker
> sig over at hostnavn og certifikat ikke stemmer overens skal du have
et
> site-certifikat og alle dine virtual hosts skal være i samme
> subdomæne. Men det er ret grimt at sætte den slags op så undgå det
hvis
> du kan.

hmm, altså hvis jeg f.eks. vil have domæne1.dk og domæne2.dk på samme
maskine begge med SSL, så skal de køre på forskellige porte ?
- og ellers skal domæne2.dk f.eks. bruge domæne2.domæne1.dk til ssl,
og så skal man ha det der sitecertificat ?

tror bare jeg nøjes med en...

---

"Mickey" <news001@susie.dyndns.dk> writes:

> > Hvis du vil køre flere virtual hosts på samme port på samme maskine
> > skal du bruge samme certifikat til alle hosts og for at browseren
> > ikke brokker sig over at hostnavn og certifikat ikke stemmer overens
> > skal du have et site-certifikat og alle dine virtual hosts skal være
> > i samme subdomæne. Men det er ret grimt at sætte den slags op så
> > undgå det hvis du kan.
>
> hmm, altså hvis jeg f.eks. vil have domæne1.dk og domæne2.dk på samme
> maskine begge med SSL, så skal de køre på forskellige porte ?

Jeps.

> - og ellers skal domæne2.dk f.eks. bruge domæne2.domæne1.dk til ssl,
> og så skal man ha det der sitecertificat ?

Noget i den retning.

Helt udspecificeret så vil et site certifikat til *.domæne1.dk matche når
der er præcist 2 punktummer, dvs. det vil matche www.domæne1.dk,
domæne2.domæne1.dk, whatever.domæne1.dk, men _ikke_ selve domæne1.dk
eller www.domæne2.domæne1.dk.

> tror bare jeg nøjes med en...

Fornuftigt.

--
Finn Nielsen

---

Finn Nielsen <mmallq@groenjord.dk> wrote:

> Helt udspecificeret så vil et site certifikat til *.domæne1.dk matche når
> der er præcist 2 punktummer, dvs. det vil matche www.domæne1.dk,
> domæne2.domæne1.dk, whatever.domæne1.dk, men _ikke_ selve domæne1.dk
> eller www.domæne2.domæne1.dk.

Ja, det er noget frygteligt griseri. Nu er det jo sjældent at "folk" selv
staver til en secure server, så et alternativ er at bruge non-standard
porte for diverse domæner, altså https://www.domæne1.dk:1443/

Når det er pakket ind i en href= er der såmænd ingen der tænker over det.

/Niels

--
Niels Baggesen -- State and University Library -- Århus -- Denmark
Email: nba@statsbiblioteket.dk - Tel: +45 8946 2092 - Fax: +45 8946 2220

---

Man kan også tildele flere ip-numre til det samme interface, hvis man kan få
lov at få flere.

--
Tonny

---

"Tonny Sejr Kromann" <tonny@io.dk> skrev i en meddelelse
news:95pn13$1rrj$1@news.cybercity.dk...
> Man kan også tildele flere ip-numre til det samme interface, hvis
man kan få
> lov at få flere.

hmm, det blir lidt svært ;)

- sidder jo bag en WOL ADSL, og kan derfor kun bruge et IP nummer...

- men Nils løsning lyder god ;)