[Apache] SSL voor vhost configs

maandag 14 maart 2011 12:45

Acties:

0 Henk 'm!

Topicstarter

Ik zit te puzzelen met mijn lokale server voor het testen van webapplicaties onder https. Ik zit alleen met een vreemd probleem, maar allereerst mijn configs.

/etc/apache2/httpd.conf:

# Generic server configuration
ServerName localhost
ServerAdmin naam@domain.tld

LogLevel debug
AllowEncodedSlashes On
SetEnv APPLICATION_ENV development

<Directory />
  Options -Indexes
  AllowOverride All
  Order allow,deny
  Allow from all
</Directory>

/etc/apache2/sites-available/test:

<VirtualHost *:80>
  DocumentRoot /var/www/test/public
  ServerName test.localhost
</VirtualHost>

<VirtualHost *:443>
  SSLEngine On
  SSLCertificateFile /etc/apache2/ssl/test.pem

  DocumentRoot /var/www/test/public
  ServerName test.localhost
</VirtualHost>

Nu werkt http://test.localhost zoals het altijd heeft gewerkt: goed en zoals het moet. Nu wil ik dus op https://test.localhost mijn SSL beveiligde versie zien, maar dat lukt mooi niet. Wat wel kan is de applicatie op [url]https://localhost[/] bekijken!

Voor mij is dat alleen geen optie omdat we applicaties voor verschillende klanten maken. Ik ga uiteindelijk over naar https://test1.localhost, https://test2.localhost, etc. Is middels veranderingen in de configs dit te realiseren?

maandag 14 maart 2011 12:49

Acties:

0 Henk 'm!

CyBeR

💩

Welke IP-adressen horen daarbij? SSL is alleen fatsoenlijk te doen met IP-based virtual hosting.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 14 maart 2011 12:54

Acties:

0 Henk 'm!

mithras

Topicstarter

CyBeR schreef op maandag 14 maart 2011 @ 12:49:
Welke IP-adressen horen daarbij? SSL is alleen fatsoenlijk te doen met IP-based virtual hosting.

Alles is puur localhost. Moet ik de * vervangen door 127.0.0.1 of 127.0.1.1?

Hier mijn /etc/hosts:

127.0.0.1       localhost
127.0.1.1       karolina

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

maandag 14 maart 2011 12:54

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Als je IE6 gebruikt heb je pech, daarboven werkt het wel gewoon goed.

mithras schreef op maandag 14 maart 2011 @ 12:54:
[...]
Alles is puur localhost. Moet ik de * vervangen door 127.0.0.1 of 127.0.1.1?

Hier mijn /etc/hosts:
127.0.0.1       localhost
127.0.1.1       karolina

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

En test.localhost dan? waar wijst die heen?

[ Voor 68% gewijzigd door Kees op 14-03-2011 12:55 ]

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 14 maart 2011 12:55

Acties:

0 Henk 'm!

Sypher

SNI heeft ook zo z'n nadelen maar voor testing is het prima bruikbaar.

maandag 14 maart 2011 13:07

Acties:

0 Henk 'm!

mithras

Topicstarter

Kees schreef op maandag 14 maart 2011 @ 12:54:
http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI

Als je IE6 gebruikt heb je pech, daarboven werkt het wel gewoon goed.

Thanks, ga ik even naar kijken! IE6 gebruiken we puur voor testing op een testserver en (uiteraard) niet om lokaal te ontwikkelen. Dus dit moet wel de oplossing zijn. In productie hebben we (beter gezegd: gaan we) voor elke vhost een apart ip aanschaffen wanneer de klant SSL wil

[...]
En test.localhost dan? waar wijst die heen?

Iets teveel gestript, oeps

Normaal gebruik ik geen test.localhost en staat er veel meer in. Maar de eerste regel heeft (voor dit voorbeeld) een alias test.localhost erbij staan

Sypher schreef op maandag 14 maart 2011 @ 12:55:
SNI heeft ook zo z'n nadelen maar voor testing is het prima bruikbaar.

Ik heb even de link bekeken, maar niet zo snel een nadeel gevonden. Is het belangrijk genoeg om daar nog eens goed naar te kijken?

/edit:
Ik heb de "SSLStrictSNIVHostCheck Off" in mijn httpd.conf toegevoegd waardoor het geheel nu wel werkt. By default werkt [url]https://localhost[/] nog wel voor de 1e vhost, maar dat is op zich geen probleem. Dit gebeurt in Google Chrome goed. In Firefox werkt het nog niet, ik ga daar nog even naar kijken

Allen: bedankt voor snelle reacties

[ Voor 13% gewijzigd door mithras op 14-03-2011 13:29 . Reden: Resultaat SNI toegevoegd ]

maandag 14 maart 2011 19:44

Acties:

0 Henk 'm!

Sypher

mithras schreef op maandag 14 maart 2011 @ 13:07:
Ik heb even de link bekeken, maar niet zo snel een nadeel gevonden. Is het belangrijk genoeg om daar nog eens goed naar te kijken?

Als ik me goed herinner liep daar ergens (hier of WHT dacht ik) een topic over dat onderwerp.
SNI stuurt de servernaam die je gaat bezoeken op, waardoor je die potentieel zou kunnen onderscheppen als het over je netwerk loopt.

Exacte details weet ik niet, aangezien ik het alleen voor testing gebruik is het niet zo'n ramp. In productie wil je het (nog) niet, aangezien je dan toch teveel browser buitensluit.

Ah gevonden:

CyBeR schreef op maandag 13 december 2010 @ 01:36:
[...]

SNI is onhandig omdat je daarmee voordat je TLS genegotiate hebt (dus plaintext) informatie aan het versturen bent over wie je daar verwacht aan te treffen. Het andere alternatief, subjectAltName, is onhandig omdat je bij elke nieuwe hostname een nieuw certificaat moet fixen.

De 'goede' manier van TLS is inderdaad mutually exclusive met virtual hosting. Je hebt namelijk vantevoren een idee van welke website je verwacht te krijgen, en laat die server achter dat ip maar bewijzen dat 'ie dat is, zonder te weten dat jij ernaar op zoek bent.

woensdag 12 oktober 2011 20:12

Acties: