Mehrere SSL Server-Zertifikate gleichzeitg verwenden

[Darkwing9]

Hallo zusammen,

ich habe zwei verschiedene Domänen und beide werden auf die DS geleitet. Für beide Domänen habe ich mir über StartSSL ein Zertifikat erstellt.
Beide Zertifikate lassen sich importieren und sie funktionieren auch eiwandfrei. Nur leider möchte die DS immer nur ein Zertifikat und nicht beide gleichzeitig verwalten.
Somit wird eine Domäne als unsicher angezeigt.

Gibt es einen Weg beide Zertifikate einzubinden?

Viele Grüße Darkwing

 

[Ameisentaetowierer]

Meines Wissens nur über eine weitere IP bzw. Port.
Das Problem ist M.E. darin begründet, dass der Webserver bereits sein Zertifikat vorzeigen muss, bevor er überhaupt weiss, was (welche Domain) der Client anfragt.
Ist aber damit auch ein Sicherheitsfeature.
Ob die Syno das unterstützt, kann ich nicht sagen.


https://wiki.apache.org/httpd/NameBasedSSLVHosts

 

[joku]

ich habe zwei verschiedene Domänen und beide werden auf die DS geleitet.

Hallo, wie hast Du das eingerichtet, das die DS erkennt,
welche Domän der Besucher erreichen möchte ?

Gibt es einen Weg beide Zertifikate einzubinden?

Durch vHosts.

Gruß Jo

 

[Benares]

Ich weiß nicht, ob das auch bei den StartSSL-Zertifikaten geht, aber bei den selbstsignierten Zertifikaten kann man neben der Haupt-Domäne noch weitere, alternative Hosts hinterlegen.
Diese tauchen dann im Zertifikat unter "Alternative Antragstellernamen" auf und funktionieren genauso, wie der Haupthost.
Ich nutze das, um meine DSen neben https://meinedomain intern auch über https://ds212 bzw. https://ds415 ansprechen zu können.

 

[Darkwing9]

@joku: Ich habe eine Domäne bei Strato und auf der DS läuft der DDNS Dienst mit dem Serviceanbieter Strato.
Parallel hierzu habe ich eine weitere Domäne bei DomainFactory und über die Fritz-Box habe ich den DynDNS Anbieter Selfhost verknüpft.
Somit kann ich über Strato und die DS aber auch über DomainFactory und Selfhost auf meine DS zugreifen.

@Benares: Ich glaube bei StartSSL kannst du nur weitere Subdomänen unter deiner Hauptdomäne zertifizieren. Da die Domänen validiert werden muss diese Domänen auch besitzen, sonst bekommt man die notwendige Mail zur Validierung nicht.

Ich kenne mich leider überhaupt nicht mit vHosts aus. Was muss ich tun, damit ich beide Zertifikate einbinden kann?

 

[joku]

Somit kann ich über Strato und die DS aber auch über DomainFactory und Selfhost auf meine DS zugreifen.

Das bedeutet, das beide Domän, die selben Webseiten anzeigen ?

Ich kenne mich leider überhaupt nicht mit vHosts aus. Was muss ich tun, damit ich beide Zertifikate einbinden kann?

Naja, das anlegen der vHost ist ganz einfach, das geht mit dem DSM
Das mit den Zertifikaten macht etwas arbeit.
In dem Link vom Ameisentaetowierer steht es.

Was Du versuchen könntest, die vHost anlegen
und in das Verzeichniss das passende Zertifikate legen.

Gruß Jo

 

[heavy]

Also der link ist interresant, da ich auch mehrere Seiten betreibe und kein Wildcard zertifikat habe. Werde ich mich mal damit beschäftigen.

 

[jahlives]

Der "einfachste" Weg ist wie von Benares beschrieben mit alternativen Hostnamen im Zertifikat. Das sollte mit jedem Browser (Client) gehen.
Dann der Weg wie in den Links beschrieben. Geht allerdings nur wenn man für die vhosts unterschiedliche IPs und/oder Ports hat. Da wird dann aber das Portforwarding ziemlich schwierig, wenn man die DS hinter einem Router betreibt. Denn der Router hat ja keine Möglichkeit den angefragten Hostnamen zu sehen und damit kann er auch nicht auf unterschiedliche Server weiterleiten.
Dann gäbe es noch den Weg via SNI, was aber sowohl der Server als auch der Browser unterstützen müssen

 

[benoga]

Du kannst einen weiteren Virtualhost erstellen und dann im config-file das neue Zertifikat mitgeben

<VirtualHost *:443>
ServerName www.neuedomain.com
DocumentRoot "/var/services/web/neuedomain"
SSLCertificateFile /volume1/homes/beispiel/domain.crt
SSLCertificateKeyFile /volume1/homes/beispiel/private.key
SSLCertificateChainFile /volume1/homes/beispiel/domain.chain.pem
SSLEngine on
</VirtualHost>

so funktioniert es zumindest unter DSM 5.2.

 

[jahlives]

@Benoga
das klappt aber nicht mit mehreren Zertifikaten. Auf derselben IP/Port Kombination geht als Grundregel nur ein Zertifikat/Schlüssel. Ausser man setzt SNI ein oder ein Zertifikat mit mehreren alternativen Hostnamen

 

[benoga]

hmm okey
so klappte es bei mir und gab auch keine Fehlermeldungen im apachelog.
Er kanns ja mal versuchen und Rückmeldung geben obs bei Ihm auch funktioniert...

 

[jahlives]

so klappte es bei mir und gab auch keine Fehlermeldungen im apachelog.

haben denn wirklich beide vhosts mit dem korrekten Zertifikat geantwortet? In den Apache Logs wird das keinen Fehler geben, nur die Clients melden dabei einen Fehler (weil der Hostname nicht zum CN passt)
Ich vermute schwer, dass du deinen vhost als sogn default Host hast und damit jeder HTTPS Request von dieser Konfig beantwortet wird. Oder Synology hat per default den SNI aktiviert