Vysvetleni nastaveni APACHE
Jan Houstek
jan.houstek na mff.cuni.cz
Pátek Únor 18 01:19:25 CET 2005
On Thu, 17 Feb 2005, Milan Keršláger wrote:
> Dobre. Pak tedy http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html#vhosts
> je uplne spatne.
Spatne to neni, ale nepocita ani s jednou z tech alternativ, ktere jsem
popsal (uvedeni server name v extended TLS HELO nebo existence vice jmen v
certifikatu).
> > Neciste je v kazdem pripade pouzivani Common Name pro svazani certifikatu
> > s DNS jmenem serveru, ale co je necisteho na vyse uvedenych standardech,
> > to bys mel asi trochu vysvetlit ...
>
> Otazkou tedy zbyva, zda to Apache vubec podporuje,
Ani jedno neni problem apache. To extended HELO zavisi predevsim na
knihovne a certifikat apache pouzije takovy, jaky mu dodam.
> jestli s tim nebudou mit problem bezni klienti a v pripade, ze existuje
> rozumne reseni,
Nezkousel jsem uplne vsechny myslitelne klienty, ale minimalne ty
nejbeznejsi s tim problem nemaji (vcetne IE).
> tak by me zajimalo, jestli me s tim nevyhodi CA.
To nevim, ale dNSName uz cas od casu v nejakych certifikatech vidam, takze
zjevne existuji CA, ktere to tak delaji.
> I pokud by neexistoval znamy problem s temi nekolika hacky, pak bude
> stejne jednodussi pridelit kazdemu SSL Webu jinou IP adresu, ne?
Pokud jsou ty adresy k dispozici, tak asi jo, ale i plain HTTP
virtualhosty je jednodussi delat IP-based, takze to tvrzeni nelze
povazovat za prilis padny argument.
Rozhodne je neprakticke davat do jednoho certifikatu vice jmen, ktera
nemaji mnoho spolecneho (kvuli problemum s vydavanim a taky proto, ze
kvuli kazdemu novemu jmenu by se musel vydat cely novy certifikat pro
vsecha jmena). Ovsem na reseni postavenem na extenzich z RFC 3546 nevidim
zadnou vadu.
-- Honza Houstek
Další informace o konferenci Linux