Apache a VH pro SSL -- delsi

[Jan Houstek]

Ing. Pavel PaJaSoft Janoušek wrote:
> Poprosil bych (neb ji neznám a zkoušel jsem to, nebyl jsem úspěšný -
> a mám pocit, že Vy to víte/umíte), jaký tvar má mít hostname v případě, že
> chci, aby byl certifikát platný pro
> 
> a1.a.cz, a2.a.cz a a3.a.cz - mne vždy klient (prohlížeč) nadával, když jsem
> zkoušel via openssl takový certifikát vygenerovat (což šlo), a v browseru
> prohlásit za trustedm, za konflikt hostname...

Existuje vic zpusobu. Vcelku prehledne shrnuti je napr. zde:
http://wiki.cacert.org/wiki/VhostTaskForce

Ja osobne pouzivam takovou trojkombinaci, kdy seznam jmen je v 
SubjectAltName, ale navic v Subjectu nechavam i CN (obvykle tam napisu 
hostname stroje, na kterem bude ten certifikat nainstalovany) a ty 
SubjectAltName dam do certifikatu nejen do Subjectu, ale i jako SSLv3 
extenze.

Ty druhe dve veci by mely byt zbytecne; obsahuje-li certifikat dNSName, 
CN se nepouziva, a stejne tak extensions, ovsem ukazuje se, ze bez toho 
nektere implementace odmitaji rozumne fungovat.

> No já jsem problém viděl v rovině toho, že ten certifikát je také
> validní pro a2.example.com, což je host, o kterém generátor certifikátu
> (osoba) v principu nic vědět nemusí - on tento CNAME nebo A záznam nemusí
> být ani v autoritativní zóně example.com (DNSSEC se jaxi zatím moc
> neprovozuje) a přesto z hlediska certifikátu a zabezpečení klient nic
> nepozná...

Stale nechapu, v cem je problem. Pokud neukradnu privatni klic k tomu 
certifikatu, jakou muzu zpusobit skodu. Fajn, zmanipuluju DNS tak, ze si 
vyrobim a2.example.com a nasmeruju ho kam?

-- Honza Houstek