SSL a apache?
Jan Houstek
jan.houstek na mff.cuni.cz
Pondělí Prosinec 13 14:59:21 CET 2004
On Mon, 13 Dec 2004, Zdenek Prchal wrote:
> zajimalo by me, jestli tusim spravne, ze na jedne IP adrese je mozne
> provozovat pouze jeden jediny SSL web? Tj. na kazdy SSL web jedno PC
> nebo alespon IP-based virtual host. Je to porad jeste pravda nebo
> existuje nejaky figl jak to obejit (pro apache2)?
Neni to pravda :)
Predne, pokud vam nevadi chyby s certifikaty, pripadne jste schopny sveho
klienta presvedcit, ze pro https://example.com/ je platny certifikat, prestoze
ma v CN neco jineho nez example.com, tak neni problem. Apachovi je to
uplne jedno, funguji i name-based virtualhosts, pouze se to bali do SSL a
pouzity certifikat se z principu neda ovlivnit pomoci Host: v HTTP.
Da se udelat jina finta, neni totiz problem vystavit certifikat, ktery
obsahuje vicenasobne CN, takze si tam muzete dat vsechna jmena, ktera tam
budou na jednom IP hostovana. Vetsina klientu to podporuje. Viz archiv
listu.
Problem muze akorat nastat s podpisem takovych certifikatu. Je-li to
nejaka lokalni zalezitost s privatni CA, tak je to asi idealni, jinak to
zalezi na tom, jak se k tomu postavi vase CA.
Dalibor Straka mi rikal, ze to tak nejakou dobu pouzivali na CVUT. Ale
jakou CA vyuzivali, to jsem nezjistoval. Ono je navic pomerne neprakticke
pri pridani kazdeho webu predelavat cely certifikat.
-- Honza Houstek
Další informace o konferenci Linux