Apache 2 mod ssl różne certyfikaty na subdomeny


(Majewski Maciej) #1

Witam, może ktoś pomoże.

Mam domenę o nazwie np. costam.pl

w tej domenie chce wystawic dwa, docelowo trzy serwisy zabezpieczone SSL:

-www.costam.pl

-xy.costam.pl

-xyz.costam.pl

do dyspozycji mam jeden adres IP tak wiec serwisy wystawiam przez virtualhosty oparte o nazwę. dla każdego z tych serwisów wygenerowałem sobie darmowy certyfikat testowy w gigaone.pl gdzie w Common Name - CN wpisalem odpowiednio dla kazdego - http://www.costam.pl , xyz.costam.pl itp... o certyfikacie typu wildcard na razie nie myśle bo to droga zabawa :wink:

Przy normalnych nieszyfrowanych połączeniach http wszystko ładnie śmiga problem pojawia się przy odwołaniach do danych serwisów przez https. Pierwszy - https://www.costam.pl działa świetnie ale gdy chcę wyświetlić w przeglądarce drugi serwis - https://xy.costam.pl wówczas dostaję piękny komunikat z przeglądarki mówiący o tym, że certyfikat jest niepoprawny dla wpisanego adresu :frowning: - Serwer do adresu https://xy.costam.pl próbuje użyć certyfikat z adresu https://www.costam.pl

Czy wystawienie kilku subdomen zabezpieczonych RÓŻNYMI certyfikatami na jednym adresie IP i porcie jest w ogóle możliwe ?

Poniżej config apacza odpowiedzialny za ssl, z góry dzięki za pomoc.

NameVirtualHost 192.168.0.159:443



	ServerName www.costam.pl

	ServerAdmin admin@costam.pl

	SSLEngine On

	SSLCertificateFile /etc/apache2/ssl/www.costam.pl.crt

	SSLCertificateKeyFile /etc/apache2/ssl/www.costam.pl.key	

	DocumentRoot /var/www/costam.pl/

	ErrorLog /var/log/apache2/error.log

	LogLevel warn

	CustomLog /var/log/apache2/access.log combined

	ServerSignature On



	ServerName xy.costam.pl	

        ServerAdmin admin@costam.pl

        SSLEngine On

        SSLCertificateFile /etc/apache2/ssl/xy.costam.pl.crt

        SSLCertificateKeyFile /etc/apache2/ssl/xy.costam.pl.key

        DocumentRoot /var/www/xy.costam.pl/

        ErrorLog /var/log/apache2/error.log

        LogLevel warn

        CustomLog /var/log/apache2/access.log combined

        ServerSignature On

(Xwars) #2

Może być tylko jeden certyfikat SSL dla każdej kombinacji ip/port. Wynika to bezpośrednio z tego jak działa HTTPS - najpierw jest nawiązywane połączenie SSL a dopiero później przeglądarka przesyła informacje jaką stronę chce otworzyć.


(Majewski Maciej) #3

thx za odpowiedź, w kilku miejscach znalazłem podobną informację. Przetestowałem swoją konfigurację na samopodpisanym certyfikacie wildcard i wszystko działa. Niestety z racji tego, że jest samopodpisany przeglądarki straszą komunikatami o problemach z bezpieczeństwem :confused: Nic , trudno muszę wydać trochę więcej u autoryzowanego wystawcy :confused: Dzięki za pomoc !