Mehrere SSL-Zertifikate für einen Listener??

Eric Cartman · 3. Juni 2008

Hallo!
Ich habe zwei Domainnamen auf einer IP-Adresse laufen. Es gibt deshalb nur einen Listener, da nur eine IP-Adresse. Jetzt möchte ich gerne SSL-Benutzen und Zertifikate hinterlegen. Da die Domainnamen komplett verschieden sind (Subdomain-Wildcards scheiden somit aus), brauche ich auch zwei Zertifikate (domain1.pem, domain2.pem). Wie bringe ich Axigen dazu beide Zertifikate zu benutzen. Also z.B. so: request https://domain1:900 -> domain1.pem, request https://doman2:900 -> domain2.pem

Ich möchte nicht mit zwei unterschiedlichen Listern, welche auf versch. Ports lauschen arbeiten -> unschön.

Gibts da ne Möglichkeit??

huestel · 3. Juni 2008

Hallo,

dies geht nicht - liegt aber weniger an AXIGEN, als an SSL selbst.

Das SSL-Protokoll schreibt vor, dass die IP-Adresse und der Hostname mit dem DNS-A Record übereinstimmt und das eben pro Server. Die SSL-Zertifikate werden gegen den Hostname geprüft.

Hier die etwas ausführlichere Antwort:

Zitat

Due to the implementation of the SSL protocol is not possible to
configure different SSL certificates for each domain.
It is possible to configure one SSL certificate for the entire Axigen
server but not for a specific domain only.
It is not possible to create more listeners on the same ip address
unless the server has more than one ip address assigned. If this is the
case, the per domain certificate would still not be usable since all the
certificates will not correspond with the machine's hostname.

The SSL implementation requires that the ip address of the machine
corresponds with the machine's hostname which in turn must correspond
with the DNS A record of the machine. The hostname is specified inside
the certificate to prevent spoofing attacks. This mechanism does not
allow the usage of the same certificate for multiple domains and either
the usage of multiple certificates for multiple domains since the check
is performed against the machine's hostname.

Alles anzeigen

Eric Cartman · 3. Juni 2008

vielen dank für die schnelle antwort. nur kann ich sie leider nicht so ganz nachvollziehen. dass würde ja bedeuten, man müsste sich pro ip-adresse für eine domain entschieden (und somit für ein ssl-zertifikat). liegt es daran, dass axigen einfach nicht unterscheiden kann, mit welchen domainnamen der aufruf erfolgte??? bei dem virtual host konzept bei webservern steht ja der hostname im http-header. :confused::confused::confused:

huestel · 3. Juni 2008

Ich weiß nun nicht, ob das aufgrund der Technologie oder aufgrund der Implementierung so gelöst ist - könnte ich aber nochmals nachhaken.

Pro Host geht nur ein SSL Zertifikat.

Mehrere SSL-Zertifikate für einen Listener??

Teilen

Benutzer online in diesem Thema