Hulp met SSL

Wat gebeurt er nu?

World Citizen schreef op woensdag 17 april 2013 @ 11:04:
Hoi,

Ik ben al een tijdje aan het vechten met SSL en zou graag jullie willen vragen mij te helpen.
Nogmaals, ik ben het spoor redelijk bijster. Dit omdat ik geen voor mij begrijpelijk handleiding kan vinden die met subdomeinen werkt.
Ik zou niet meer durven zeggen of ik een <VirtualHost *:80> voor elk subdomein moet maken, en datzelfde voor de <VirtualHost *:443> . Ik zou ook niet meer weten of het bij mij anders werkt omdat ik gebruik maak van de .httacces methode voor subdomeinen en magento stores.

Wat probeer je precies te bereiken? 10 losse webshops opzetten die allemaal SSL gebruiken?

tip: wacht even met HTTPS en zorg dat je VirtualHosts eerst met HTTP werkend hebt, anders probeer je drie problemen tegelijk op te lossen en dat maakt het alleen maar ingewikkelder.

World Citizen schreef op woensdag 17 april 2013 @ 11:12:
[...]


Ik kan het pas vanavond testen. Dat is het vervelende.. De vorige keer dat ik dit deed was de hele server niet meer bereikbaar. Maar toen had ik niet een virtualhost voor elk subdomein gemaakt. Dus wellicht licht het daar aan.

Om 8 uur vanavond ga ik het wederom proberen... Vandaar dit topic om stomme fouten uit te sluiten.

Aha. Wel, in de basis klopt dat namelijk. Hoewel je wel die twee CA files even in één file moet combineren, trouwens. Gewoon de inhoud van beide achter elkaar plakken in een nieuwe file en die in je config zetten. Oh en vergeet niet een NameVirtualHost *:443 en natuurlijk een Listen 443.

[ Voor 18% gewijzigd door CyBeR op 17-04-2013 11:18 ]

World Citizen schreef op woensdag 17 april 2013 @ 11:12:
Ik kan het pas vanavond testen. Dat is het vervelende.. De vorige keer dat ik dit deed was de hele server niet meer bereikbaar. Maar toen had ik niet een virtualhost voor elk subdomein gemaakt. Dus wellicht licht het daar aan.

Om 8 uur vanavond ga ik het wederom proberen... Vandaar dit topic om stomme fouten uit te sluiten.

Zorg voor een test-server. Dat kost een paar euro en een dag werk maar het spaart je downtime (en dus verloren klanten), overwerk en stress.

World Citizen schreef op woensdag 17 april 2013 @ 11:16:
[...]


Http wekt perfect. Nu staat er in de httpd.conf enkel

code:

1 2 3 4

<VirtualHost *:80> DocumentRoot /usr/share/magento ServerName www.BEDRIJFSNAAM.nl </VirtualHost>

En via de .httacces komt elke domein keurig uit op de juiste webwinkel. Dus het hele http verkeer lijkt gewoon in orde.

Ik wil inderdaad elke subdomein een eigen SSL geven, omdat deze subdomeinen nooit elkaar mogen treffen, en bij het terugkeren van de ideal/andere betalingen altijd weer terug naar de winkel van herkomst gegaan moet worden. Als ik 1SSL instel voor de hele installatie, dan redirect hij niet goed, en komt iedereen op het hoofdomein terug.
Het kan goed zijn dat dit niet de beste oplossing is, maar mijn SSL leverancier heeft het zo geadviseerd.

Je kan bij iDeal toch bij het maken van de connectie met iDeal een return URL opgeven, waar die specifieke iDeal betaling naar wordt teruggestuurd?
_{staat dat overigens niet los van het SSL verhaal, je stelt toch niet in je certificaat in waar je iDeal naar toegaat?}

[ Voor 8% gewijzigd door Afvalzak op 17-04-2013 11:20 ]

Begrijp ik dat je 1 SSL cerificaat over meerdere (sub)domeinen wilt gebruiken ?
Ik neem aan dat al die domeinen als alias bekend zijn in je certificaat.. in dat geval kan het alleen middels een redirect en niet via meer dan 1 virtual host tenzij je meer IP's hebt.

[ Voor 4% gewijzigd door DukeBox op 17-04-2013 11:24 ]

Hij heeft subdomeinen met een wildcard ssl cert. Dat is geen probleem.

^ daar ging ik dan ook vanuit..
Maar 2x <VirtualHost *:443> gaat niet werken..

DukeBox schreef op woensdag 17 april 2013 @ 11:27:
^ daar ging ik dan ook vanuit..
Maar 2x <VirtualHost *:443> gaat niet werken..

... want? Dat werkt prima namelijk.

World Citizen schreef op woensdag 17 april 2013 @ 11:27:

Dus in theorie is het de bedoeling dat je elke subdomein in een eigen virtual block zet?
De 2 CA files combineer ik? Dat snap ik, maar is verwijs ik hier dan naar onder SSLCertificateKeyFile of
SSLCertificateChainFile?

Yep. Dat zou sowieso moeten, maar omdat je een wildcard cert hebt maakt het IP-adres niet uit; het is één cert voor alle domeinen. Dus kun je gewoon *:443 gebruiken.

En dat gaat om de SSLCertificateChainFile. Die andere twee moeten gewoon enkel je key en enkel jouw eigen cert bevatten.

[ Voor 52% gewijzigd door CyBeR op 17-04-2013 11:36 ]

Namebased virtual hosts en SSL samen gaan niet werken. Per IP dus een vhost, niet anders.

igmar schreef op woensdag 17 april 2013 @ 11:57:
Namebased virtual hosts en SSL samen gaan niet werken. Per IP dus een vhost, niet anders.

D'r zijn twee manieren waarop dat wél gaat werken. Eentje is hier van toepassing en reeds uitgelegd.

CyBeR schreef op woensdag 17 april 2013 @ 11:34:
... want? Dat werkt prima namelijk.

En daar staat:

However you cannot do the following:
SSL VirtualHost for a different ServerName (three.example2.com), where the IP address is the same as that used for *.example.com.

*.x.x:443 is in dit geval gelijk aan *.443 !
Zonder named(virtual)host kan dat gewoon niet, en zolang je een * in ssl hebt op hetzelfde ip werkt het ook niet.

CyBeR schreef op woensdag 17 april 2013 @ 12:02:
D'r zijn twee manieren waarop dat wél gaat werken. Eentje is hier van toepassing en reeds uitgelegd.

In welke post dan en wat is de andere manier (buiten redirect) ?

[ Voor 13% gewijzigd door DukeBox op 17-04-2013 13:30 ]

Hoezo geen namebased virtual hosts en SSL samen?
Ik heb 4 sites op mijn vps draaien met SSL zonder enige problemen.

Probeer het eens met een wat uitgebreidere config incl. logging:


Misschien moet je nog even naar SSLCertificateChainFile kijken.
In handleiding van Comodo kwan ik ergens "SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle" tegen.

Zo:

World Citizen schreef op woensdag 17 april 2013 @ 11:38:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

<VirtualHost *:80> DocumentRoot /usr/share/magento ServerName www.BEDRIJFSNAAM.nl </VirtualHost> <VirtualHost *:80> DocumentRoot /usr/share/magento ServerName www.SUBDOMEIN1.BEDRIJFSNAAM.nl </VirtualHost> NameVirtualHost ip.adres.van.interface:443 <VirtualHost ip.adres.van.interface:443> SSLEngine on SSLCertificateFile /etc/httpd/conf/12219694repl_1.crt SSLCertificateKeyFile /etc/httpd/conf/www_BEDRIJFSNAAM_key SSLCertificateChainFile /etc/httpd/conf/COMODOHigh-AssuranceSecureServerCA.crt ServerName www.BEDRIJFSNAAM.nl DocumentRoot /usr/share/magento </VirtualHost> <VirtualHost ip.adres.van.interface:443> SSLEngine on SSLCertificateFile /etc/httpd/conf/12219694repl_1.crt SSLCertificateKeyFile /etc/httpd/conf/www_BEDRIJFSNAAM_key SSLCertificateChainFile /etc/httpd/conf/COMODOHigh-AssuranceSecureServerCA.crt ServerName www.SUBDOMEIN1.BEDRIJFSNAAM.nl DocumentRoot /usr/share/magento </VirtualHost>

brambo123 schreef op woensdag 17 april 2013 @ 13:43:
Hoezo geen namebased virtual hosts en SSL samen?
Ik heb 4 sites op mijn vps draaien met SSL zonder enige problemen.

Met 1 ip kan dat alleen met een wildcard en met gebruik van named hosts.

Dit alles is juist dé reden dat met dit soort omgevingen eerst SSL termination gedaan wordt.

[ Voor 15% gewijzigd door DukeBox op 17-04-2013 13:53 ]

DukeBox schreef op woensdag 17 april 2013 @ 13:25:
[...]

En daar staat:

[...]

*.x.x:443 is in dit geval gelijk aan *.443 !
Zonder named(virtual)host kan dat gewoon niet, en zolang je een * in ssl hebt op hetzelfde ip werkt het ook niet.

Daar staat dat dat niet kan als je geen certificaat hebt wat dat ondersteunt. TS heeft dat wel, hij heeft een *.domain.nl cert en hij wil bla.domain.nl, foo.domain.nl, etc. gebruiken. Dan kun je dus wél gewoon name-based virtualhosten, want het certificaat wat gepresenteerd wordt klopt op dat moment gewoon.

Jouw voorbeeld zou van toepassing zijn op *.domain.nl en *.anderdomein.nl. Dát moet inderdaad met IP-based virtualhosting (of SNI, zie beneden)

In welke post dan en wat is de andere manier (buiten redirect) ?

Bovengenoemd, gewoon name-based vhosten zoals uitgelegd. De andere optie is SNI, waarbij de client bij de TLS-negotiation aangeeft naar welk domein 'ie op zoek is, en de server daar het goede certificaat bij kan zoeken.

En hoe een redirect gaat helpen met SSL certificaten begrijp ik niet.

[ Voor 14% gewijzigd door CyBeR op 17-04-2013 13:58 ]

CyBeR schreef op woensdag 17 april 2013 @ 12:02:
[...]


D'r zijn twee manieren waarop dat wél gaat werken. Eentje is hier van toepassing en reeds uitgelegd.

Niet zonder SNI. De SSL negotiation gebeurd voordat de juiste hostname over lijn vliegt, dus Apache zal dan altijd de eerst matchende Vhost pakken. De enige oplossing daarvoor is SNI, alleen is vooral de IE support daarvoor uiterst mager (Alleen vanaf versie 10 AFAIK).

Het is zelfs een Apache FAQ : http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#vhosts2

[ Voor 8% gewijzigd door igmar op 18-04-2013 12:48 ]

Nevermind, SNI wordt al genoemd.

[ Voor 84% gewijzigd door _eXistenZ_ op 18-04-2013 18:13 ]

igmar schreef op donderdag 18 april 2013 @ 12:46:
[...]


Niet zonder SNI. De SSL negotiation gebeurd voordat de juiste hostname over lijn vliegt, dus Apache zal dan altijd de eerst matchende Vhost pakken. De enige oplossing daarvoor is SNI, alleen is vooral de IE support daarvoor uiterst mager (Alleen vanaf versie 10 AFAIK).

Het is zelfs een Apache FAQ : http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#vhosts2

Mijn god blijven we nou bezig? Zijn SSL certificaat is van toepassing op alle vhosts. Dus dat maakt allemaal geen donder uit.

Hai,

Deze is een probleem gezien je certificaat *.bedrijfsnaam.nl is.
en geen *.SUBDOMAIN.bedrijfsnaam.nl
Haal die uit je config heeft 0 meerwaarde.
( en voor die op port 80 kan je dat ook doen)
Ik heb ook een magento shop draaien, je mag nog wel wat optimaliseren hoor.

<VirtualHost *:443>
DocumentRoot /usr/share/magento
ServerName www.SUBDOMEIN1.BEDRIJFSNAAM.nl

Verder.

zet in je apache vhost deze zoiets als dit.
## enable SSL
SSLEngine on

# Welke protocolen zijn ok
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

## je wildcard cert.
SSLCertificateFile /etc/apache2/ssl/wildcard-bedrijfsnaam-nl.cer
## je Key File
SSLCertificateKeyFile /etc/apache2/ssl/wildcard-bedrijfsnaam-nl.key
## De CA Root
SSLCACertificateFile /etc/ssl/certs/GlobalSignDomainValidationCA-G2.cer ( en pas deze naar je comodo aan)
## De CA Intermediate (tussenliggende) certificaat.
SSLCertificateChainFile /(zelfinvullen path naar je comodo intermedate certificaat

## Path naar CA Root en intermediates, gewoon handig.
SSLCACertificatePath /etc/ssl/certs/

Kopieer de Comodo cert incl tussenliggende in /etc/ssl/certs
mis je er wat kijk hier eens :
https://www.sslcertificat...intermediate_certificaten
maar dat zal vast wel een pakettje voor centos voor zijn ( zelf gebruik ik debian)

Maak nieuw ssl hashes aan.
cd /etc/ssl/certs
for i in `ls *.crt`;do
[ ! -e $i.0 ] && ln -s $i $(openssl x509 -hash -noout -in $i).0 > /dev/null 2>&1 || :
done

Herstart apache.
en hoe is het nu ?

meer weten over ssl en opzetten, hier heb ik wat van geleerd.
http://www.vanemery.com/Linux/Apache/apache-SSL.html

Thc_Nbl schreef op vrijdag 19 april 2013 @ 10:17:
Hai,

Deze is een probleem gezien je certificaat *.bedrijfsnaam.nl is.
en geen *.SUBDOMAIN.bedrijfsnaam.nl

Ah, klein detail gemist. Inderdaad: een * matcht slechts een level. Dus *.domein.nl matcht alleen bla.domein.nl, niet bla1.bla2.domein.nl (en overigens ook niet domein.nl). Als je dat wilt moet je een *.*.domein.nl cert hebben.

en Bedankt CyBeR, ik zie nog wat.

Hij plaats zijn root cert in de apache folder, in b.v. onderstaande link gaan ze er vanuit dat je Root CA cert in /etc/ssl/certs staat, en dat is bij hem ook niet het geval.


(* zie ook hier )
http://www.prodevtips.com...e-certificate-in-apache2/

dus in het kort.

Geen subdomains met het wildcard die je hebt.
gezien het een wildcard is kan je of ip:443 of FQDN-hostname:443 gebruiken.
zet je ssl paden in apache goed, root-CA naar /etc/ssl/certs. ( zie mijn voorbeeld boven.
Nieuw hashes maken.
apache restarten, problem fixed lijkt mij

[ Voor 31% gewijzigd door Thc_Nbl op 19-04-2013 10:27 ]

Waar de root cert staat is op zich niet zo boeiend, zolang apache 't maar weet.

CyBeR schreef op vrijdag 19 april 2013 @ 10:22:
Ah, klein detail gemist. Inderdaad: een * matcht slechts een level.

Precies.. daarom schreef ik dat al 2 keer.

DukeBox schreef op vrijdag 19 april 2013 @ 11:16:
[...]

Precies.. daarom schreef ik dat al 2 keer.

Zeg dát dan, want dat was niet duidelijk. Wat jij tot dusverre gezegd hebt is alleen dat je geen name-based vhosts kunt hebben met ssl en dat is gewoon pertinent onwaar.


Wat TS wil kan ook gewoon, alleen kan 'ie alleen 'subdomein.domein.nl' gebruiken, en niet ook nog 'www.subdomein.domein.nl', tenzij 'ie dus een *.*.domein.nl cert heeft.

[ Voor 20% gewijzigd door CyBeR op 19-04-2013 11:20 ]

CyBeR schreef op vrijdag 19 april 2013 @ 10:44:
Waar de root cert staat is op zich niet zo boeiend, zolang apache 't maar weet.

Dat klopt helemaal, maar in zijn config staat geen correcte verwijzing naar Root CA en Intermedia CA.
Dus zal zijn config nooit gaan werken, of altijd meldingen blijven geven.

Daarom zei ik:

CyBeR schreef op woensdag 17 april 2013 @ 11:15:
[...]


Aha. Wel, in de basis klopt dat namelijk. Hoewel je wel die twee CA files even in één file moet combineren, trouwens. Gewoon de inhoud van beide achter elkaar plakken in een nieuwe file en die in je config zetten. Oh en vergeet niet een NameVirtualHost *:443 en natuurlijk een Listen 443.

CyBeR schreef op vrijdag 19 april 2013 @ 11:19:
Zeg dát dan, want dat was niet duidelijk. Wat jij tot dusverre gezegd hebt is alleen dat je geen name-based vhosts kunt hebben met ssl en dat is gewoon pertinent onwaar.

Het kan eigenlijk niet. Het werkt bij toeval als je certificaat betrekking heeft op alle domeinen in de vhost config. Dat is in de meeste gevallen niet het geval. Dat het in alle situaties werkt is echt niet correct.