FAQ: Re: apache + mod_ssl + vice virtualhostu
Pavel Janík
Pavel na Janik.cz
Sobota Srpen 18 18:28:32 CEST 2001
From: pizi na jinak.cz (Petr Klimovic)
Date: Sat, 18 Aug 2001 12:03:02 CET
Zdravím,
> PR> neco takoveho jsem tusil. A neco jineho, nez mod_ssl pro Apache,
> PR> co by
> PR> toto zvladalo neexistuje? Co ApacheSsl, nebo uplne jiny web
> PR> server?
>
> Vas dotaz se tu opakuje pravidelne nekolikrat mesicne. Rphlednete si
> archiv.
> HTTPS funguje tak, ze klient posle na danou ip adresu zadost o
> certifikat, dohodnou si sifrovani a teprve pak se posle vubec prvni
> pozadavek o soubor. Jenomze teprve pri pozadavku o soubor rika klient z
> jakeho virtualniho webu to chce. Do te doby server nevi o jaky virtual
> se jedna. A jelikoz to nevi nemuze poslat certifikat jineho virtualu.
> Takze pro jedu IP adresu lze uzit pouze jeden certifikat. Mozna to lze
> rozlisit jeste podle portu.
přesně tak - tento dotaz se zde opakuje několikrát měsíčně - přeložil jsem
tedy část z FAQ k mod_ssl (http://www.modssl.org/). Prosím Zdeňka
o zařazení do FAQ.
Q: Proč nemůžu použít SSL na virtuálních webových serverech?
A: Důvod je velmi technický. Ve skutečnosti je to podobný problém jako se
slepicí a vejcem. Vrstva protokolu SSL je umístěna pod vrstvou protokolu
HTTP a je vlastně jeho obálkou. Když je vytvořeno SSL spojení (HTTPS),
Apache resp. mod_ssl musí se vzdálenou stranou (klientem) vyjednat
parametry SSL spojení (musí zjistit typ použitého šifrování, certifikát
serveru apod.). Apache naproti tomu nemůže bez HTTP hlavičky Host
delegovat dotaz na správný webový server. To je možné pouze po načtení
této hlavičky od klienta. Tento proces ale nemůže být nastartován
předtím, než je dokončeno vyjednávání parametrů SSL spojení. Ale tato
informace je nutná již při samotném vyjednávání. Tedy to není
principiálně možné. Bingo. Je to možné vyřešit použitím IP-based
virtuálního serveru nebo pomocí jiné instance Apache/mod_ssl na jiném
portu.
--
Pavel Janík
Wow, you are crazy like hell. Of course it fixed the problem ;)
-- Hubert Mantel in private e-mail
Další informace o konferenci Linux