RE: Problémy s Apache

Čtvrtek Březen 20 17:45:03 CET 2008

Tak už jsem to úspěšně vyřešil. Problém byl samozřejmě mezi klávesnicí a židlí, ale to mně bylo jasný od začátku. Problém s certifikáty je mně taky jasný, momentálně s tím nic prostě neudělám, ten nejdůležitejší web bude mít ten správný a zbytek pojede podle něho. Stejně se jedná o soukromou záležitost, žádný webhosting a podobně, takže to není žádná tragédie.
Každopádně děkuji všem za konstruktivní rady, díky kterým jsem se dopracoval k úspěšnýmu výsledku. Teď už zbývá rozchodit pouze to dálkový ovládání, abych se mohl vrhnout na Router V2 (nový a rychlejší hardware a instalace Gentoo ze Stage 1)...

-----Original Message-----
From: linux-bounces na linux.cz [mailto:linux-bounces na linux.cz] On Behalf Of Jan Houstek
Sent: Wednesday, March 19, 2008 4:32 PM

Problém téměř jistě není v Apache, ale v konfiguraci (tedy v tom, kdo ji napsal), nebo v tom, že se snažíte nakonfigurovat něco, co principielně není možné.

Takže ještě jednou -- s klasickým HTTPS (nepočítám SNI extension TLS, viz
níže) nelze mít na stejném IP a portu různé name-based virtualhosty s různým certifikátem. Pokud toto zkoušíte, nebo to omylem v konfiguraci máte (např. se vám plete nějaký defaultní virtualhost z distribučního konfiguráku s vašimi), tak se nedivte, že se "to chová divně".

Naopak s mod_ssl celkem bez problémů fungují klasické name-based virtualhosty, mají-li nastaven stejný klíč a certifikát, v podstatě se nic neliší od téhož na čistém HTTP.

Teď jde o to, co myslíte tím "https zobrazí špatnou doménu". Pokud se načte obsah jiného virtualhostu, máte blbě konfiguraci. Pokud ji celou (nebo aspoň všechny relevantní části) zašlete, máte slušnou šanci, že se i dozvíte, co máte blbě. Pokud jen klient hlásí chybu, že mu nesedí Host: v HTTP se Subjectem certifikátu, není to problém Apache, ale toho, že v tom certifikátu nemáte všechna jména.

-- HH

P.S. Do budoucna tohle asi vyřeší "server name indication" extension TLS (RFC 3546). Zdá se, že už to umí mod_gnutls, mod_ssl zatím ne (čeká se na openssl 0.9.9), a překvapivě i novější verze nejběžnějších browserů (dokonce včetně IE). Nemáte to už někdo v praxi vyzkoušené?