Re: Problémy s Apache
Jan Houstek
Jan na houstek.net
Středa Březen 19 16:31:53 CET 2008
On Mon, 17 Mar 2008, Tomáš Koželuh wrote:
> Takže http a https teď funguje opravdu správně, ale zase mně to špatně
> rozlišuje stránky. Http zobrazí správnou stránku (domena.dve), https
> zobrazí špatnou (domena.jedna, i když zadám domena.dve). Začínám mít
> obavy, že rozdělení webu podle IP adres nebudou s tímto Apachem fungovat
> nikdy správně...
Problém téměř jistě není v Apache, ale v konfiguraci (tedy v tom, kdo ji
napsal), nebo v tom, že se snažíte nakonfigurovat něco, co principielně
není možné.
Takže ještě jednou -- s klasickým HTTPS (nepočítám SNI extension TLS, viz
níže) nelze mít na stejném IP a portu různé name-based virtualhosty s
různým certifikátem. Pokud toto zkoušíte, nebo to omylem v konfiguraci
máte (např. se vám plete nějaký defaultní virtualhost z distribučního
konfiguráku s vašimi), tak se nedivte, že se "to chová divně".
Naopak s mod_ssl celkem bez problémů fungují klasické name-based
virtualhosty, mají-li nastaven stejný klíč a certifikát, v podstatě se nic
neliší od téhož na čistém HTTP.
Teď jde o to, co myslíte tím "https zobrazí špatnou doménu". Pokud se
načte obsah jiného virtualhostu, máte blbě konfiguraci. Pokud ji celou
(nebo aspoň všechny relevantní části) zašlete, máte slušnou šanci, že se i
dozvíte, co máte blbě. Pokud jen klient hlásí chybu, že mu nesedí Host: v
HTTP se Subjectem certifikátu, není to problém Apache, ale toho, že v tom
certifikátu nemáte všechna jména.
-- HH
P.S. Do budoucna tohle asi vyřeší "server name indication" extension TLS
(RFC 3546). Zdá se, že už to umí mod_gnutls, mod_ssl zatím ne (čeká se na
openssl 0.9.9), a překvapivě i novější verze nejběžnějších browserů
(dokonce včetně IE). Nemáte to už někdo v praxi vyzkoušené?
Další informace o konferenci Linux