Toon posts:

Apache, meerdere SSL-vhosts

Pagina: 1
Acties:

donderdag 28 augustus 2008 01:17

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Allereerst, ik ben me ervan bewust dat er maar 1 SSL-vhost per IP kan draaien.


Situatie:

Ik heb een colo-doos (apache-2.2, debian etch, amd64) met (atm) 4 IPs en wil daar 3 SSL vhosts op draaien, en een zwik gewone vhhosts.
Het 4e IP is voor een VM die op die machine draait en dus ook niet relevant.


Ik wil voorlopig 2 van die SSL vhosts aan de praat hebben, gewoon als proof of concept, en daarna vrolijk uitbreiden.

Een van de sites-available files:

code:
1
2
3
4
5
6
7
8
9
10
11

<VirtualHost webmail.boudewijnector.nl:443>
        ServerName webmail.boudewijnector.nl
        DocumentRoot /usr/share/squirrelmail/
</VirtualHost>

<insert wat gewone poort 80 vhosts>

<VirtualHost 194.109.117.93:443>
        ServerName mailbeheer.boudewijnector.nl
        DocumentRoot    /var/www/boudewijnector.nl/mailbeheer
</VirtualHost>



Dit zou gewoon moeten werken voor zover ik zie...

echter onderbreekt firefox de verbinding telkens:
code:
1
2
3
4
5
6

Gegevensoverdracht onderbroken

      


De verbinding met webmail.boudewijnector.nl werd onderbroken tijdens het laden van de pagina.



De fqdn vervangen door IP helpt trouwens niet :).

[ Voor 15% gewijzigd door Boudewijn op 28-08-2008 01:19 ]

donderdag 28 augustus 2008 01:19

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Wat staat er in je log-files?

Want ik ken dit niet als standaard gedrag van het een of het ander? Als ik het zo lees, zou ik gokken dat apache er ergens halverwege ermee uitscheidt.

Gegevensoverdracht verbroken klinkt mij echt als een crashend iets in de oren...

[ Voor 97% gewijzigd door Gomez12 op 28-08-2008 01:24 ]

donderdag 28 augustus 2008 01:32

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Euh, zou je niet ergens wat SSLEngine On en gerelateerde statements neerzetten? Want nu heb je gewoon een plaintext vhost op poort 443.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 28 augustus 2008 01:50

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Gomez12 schreef op donderdag 28 augustus 2008 @ 01:19:
Wat staat er in je log-files?

Want ik ken dit niet als standaard gedrag van het een of het ander? Als ik het zo lees, zou ik gokken dat apache er ergens halverwege ermee uitscheidt.

Gegevensoverdracht verbroken klinkt mij echt als een crashend iets in de oren...
Op zich blijft apache gewoon draaien, ook op poort 80.
enige wat er gebeurt is een warning dat bij mijn cert de CN niet klopt, maar dat is een warning... en geen error.


@Cyber: ik heb ssl-geenabled in mods-enabled.


Dit staat trouwens per default in /etc/apache2/sites-available/ssl:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

NameVirtualHost *:443
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/
        LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
        SSLCertificateFile /etc/apache2/ssl/apache.pem
        SSLEngine On
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /usr/share/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
                # This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                RedirectMatch ^/$ /apache2-default/
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog /var/log/apache2/access.log combined
        ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
~
~


Dus SSLEngine staat aan ;).

donderdag 28 augustus 2008 09:53

Acties:
  • GX
  • Registratie: Augustus 2000
  • Laatst online: 14-05-2025

GX

Nee.

Waarom kan je eigenlijk maar één SSL-vhosts op één IP hebben? Ik heb een server waar er twee op zitten, en los van de melding dat m'n certificaten niet door een geauthoriseerde partij zijn uitgegeven, werkt 't wel.

Edit: Laat maar, ik snap al waarom het "werkt"! Ik ben een antiheld in ssl, dus ik snapte er toen ook niets van ;)

[ Voor 21% gewijzigd door GX op 28-08-2008 09:56 ]

donderdag 28 augustus 2008 15:47

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Boudewijn schreef op donderdag 28 augustus 2008 @ 01:50:
[...]

Op zich blijft apache gewoon draaien, ook op poort 80.
enige wat er gebeurt is een warning dat bij mijn cert de CN niet klopt, maar dat is een warning... en geen error.


@Cyber: ik heb ssl-geenabled in mods-enabled.


Dit staat trouwens per default in /etc/apache2/sites-available/ssl:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

NameVirtualHost *:443
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/
        LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
        SSLCertificateFile /etc/apache2/ssl/apache.pem
        SSLEngine On
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /usr/share/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
                # This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                RedirectMatch ^/$ /apache2-default/
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog /var/log/apache2/access.log combined
        ServerSignature On

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
~
~


Dus SSLEngine staat aan ;).
Ja, staat aan... voor alleen die Vhost. Je zult het bij elke VHost op poort 443 moeten zetten, anders werkt het niet. Haal die standaard debian vhost weg, die zit je gewoon in de weg. Verder is het handig om NameVirtualHost *:80 te gebruiken en op 443 gewoon IP-based virtualhosts te maken.

donderdag 28 augustus 2008 15:49

Acties:

Verwijderd

http://www.howtoforge.com...extensions-on-debian-etch

donderdag 28 augustus 2008 22:19

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
@dekkertje, hardstikke leuk... maar is dat wel wat ik wil ? ;) tls-ext in apache compileren en openssl recompilen is volgens mij voor zoiets als dit niet nodig (heck, ik draai geen gentoo meer op productie dozen... dus ik wil niet alles compilen :+).

@JGC: ik ga even lezen. Je hebt idd gelijk over die SSLEngine.

vrijdag 29 augustus 2008 01:18

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
De opmerking van JGC gaf de doorslag... oh wat ben ik niet wakker.... :/.


Iig is het nu opgelost.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<VirtualHost <ip>:443>
        ServerName <bla>
        DocumentRoot    <bla>
        LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
        SSLCertificateFile /etc/apache2/ssl/apache.pem
        SSLEngine On
</VirtualHost>

<VirtualHost <ip 2>:443>
        ServerName <bla2>
        DocumentRoot /usr/share/squirrelmail/
        LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
        SSLCertificateFile /etc/apache2/ssl/apache.pem
        SSLEngine On
</VirtualHost>

Verder *geen* NameVirtualHost *:443 boven de file.

vrijdag 29 augustus 2008 01:26

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Boudewijn schreef op vrijdag 29 augustus 2008 @ 01:18:
De opmerking van JGC gaf de doorslag...
Pardon? :P

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 29 augustus 2008 01:44

Acties:
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
CyBeR schreef op vrijdag 29 augustus 2008 @ 01:26:
[...]


Pardon? :P
Ok jouw opmerking ook :>
Die nameVirtualHos:443 lozen scheelt ok aardig.

[ Voor 13% gewijzigd door Boudewijn op 29-08-2008 01:45 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq