* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:56 ` Alexei Takaseev
@ 2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:15 ` Sergey Vlasov
2010-11-25 5:03 ` Alexei Takaseev
2010-11-24 10:11 ` Andrey Konnov
2010-11-24 12:07 ` Anton Gorlov
2 siblings, 2 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 10:06 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
>
> Сертификаты разные для разный name-хостов?
Да... Каждый в своем конфиге прописан...
>
> Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> те настройки, которые определены для хоста "по-умолчанию".
Ну, я таких подробностей не знал, вероятно, потому и получилось :)
Проверил, работает таки...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:06 ` Dmitriy Kruglikov
@ 2010-11-24 10:15 ` Sergey Vlasov
2010-11-24 10:22 ` Dmitriy Kruglikov
2010-11-25 5:10 ` Alexei Takaseev
2010-11-25 5:03 ` Alexei Takaseev
1 sibling, 2 replies; 25+ messages in thread
From: Sergey Vlasov @ 2010-11-24 10:15 UTC (permalink / raw)
To: sysadmins
On Wed, 24 Nov 2010 12:06:08 +0200 Dmitriy Kruglikov wrote:
> 24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
> >
> > Сертификаты разные для разный name-хостов?
> Да... Каждый в своем конфиге прописан...
> >
>
> > Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> > как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> > те настройки, которые определены для хоста "по-умолчанию".
> Ну, я таких подробностей не знал, вероятно, потому и получилось :)
>
> Проверил, работает таки...
Работает, но не со всеми клиентами - в частности, лесом идёт Internet
Explorer любой версии на Windows XP (начиная с Windows Vista, уже
поддерживается, на XP придётся ставить, например, Firefox).
http://en.wikipedia.org/wiki/Server_Name_Indication
http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:15 ` Sergey Vlasov
@ 2010-11-24 10:22 ` Dmitriy Kruglikov
2010-11-25 5:10 ` Alexei Takaseev
1 sibling, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 10:22 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 12:15 пользователь Sergey Vlasov написал:
> Работает, но не со всеми клиентами - в частности, лесом идёт Internet
> Explorer
Что меня не огорчает аж ни разу ;)
Но к сведению принял. Спасибо.
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:15 ` Sergey Vlasov
2010-11-24 10:22 ` Dmitriy Kruglikov
@ 2010-11-25 5:10 ` Alexei Takaseev
1 sibling, 0 replies; 25+ messages in thread
From: Alexei Takaseev @ 2010-11-25 5:10 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Sergey Vlasov" <vsu@altlinux.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Среда, 24 Ноябрь 2010 г 18:15:33
> Тема: Re: [Sysadmins] Настройка SSL в apache2
> On Wed, 24 Nov 2010 12:06:08 +0200 Dmitriy Kruglikov wrote:
>
> > 24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
> > >
> > > Сертификаты разные для разный name-хостов?
> > Да... Каждый в своем конфиге прописан...
> > >
> >
> > > Потому как очень все это любопытно. SSL-сессия устанавливается еще
> > > до того,
> > > как apache узнает к какому именно из виртуальных серверов
> > > обращение, и применяет
> > > те настройки, которые определены для хоста "по-умолчанию".
> > Ну, я таких подробностей не знал, вероятно, потому и получилось :)
> >
> > Проверил, работает таки...
>
> Работает, но не со всеми клиентами - в частности, лесом идёт Internet
> Explorer любой версии на Windows XP (начиная с Windows Vista, уже
> поддерживается, на XP придётся ставить, например, Firefox).
>
> http://en.wikipedia.org/wiki/Server_Name_Indication
> http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
Это да, TLS а данном случае решает проблему.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:15 ` Sergey Vlasov
@ 2010-11-25 5:03 ` Alexei Takaseev
2010-11-25 7:10 ` Dmitriy Kruglikov
1 sibling, 1 reply; 25+ messages in thread
From: Alexei Takaseev @ 2010-11-25 5:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Dmitriy Kruglikov" <dmitriy.kruglikov@gmail.com>
> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
> Отправленные: Среда, 24 Ноябрь 2010 г 18:06:08
> Тема: Re: [Sysadmins] Настройка SSL в apache2
> 24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
> >
> > Сертификаты разные для разный name-хостов?
> Да... Каждый в своем конфиге прописан...
Это еще не значит, что на деле сервер использует их. Ниже я писал
по какой причине.
> > Потому как очень все это любопытно. SSL-сессия устанавливается еще
> > до того,
> > как apache узнает к какому именно из виртуальных серверов обращение,
> > и применяет
> > те настройки, которые определены для хоста "по-умолчанию".
> Ну, я таких подробностей не знал, вероятно, потому и получилось :)
>
> Проверил, работает таки...
Посмотрите в браузере свойства сертификатов для разных витруальных
серверов. Что-то мне подсказывает, что там будет одна и та же информация для
всех серверов, расположенных на этой физической машине.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-25 5:03 ` Alexei Takaseev
@ 2010-11-25 7:10 ` Dmitriy Kruglikov
0 siblings, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-25 7:10 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
25 ноября 2010 г. 7:03 пользователь Alexei Takaseev написал:
> Посмотрите в браузере свойства сертификатов для разных витруальных
> серверов. Что-то мне подсказывает, что там будет одна и та же информация для
> всех серверов, расположенных на этой физической машине.
То, что вам подсказывает, ошиблось...
Путем открывания в ФФ своих сайтов и просмотра свойств сертификатов
установлено, что установленные в конфигурации Apache2 сертификаты
сайтов соответствуют этим сайтам.
Что-то мне подсказывает, что сообщение о том, что такое действительно
возможно, за исключением использования некоторых IE
в некоторых версиях "лучшей из ОС", ваше "что-то" не прочитало.
Предложите вашему "чему-то" перечитать тред...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:56 ` Alexei Takaseev
2010-11-24 10:06 ` Dmitriy Kruglikov
@ 2010-11-24 10:11 ` Andrey Konnov
2010-11-24 10:14 ` Dmitriy Kruglikov
2010-11-24 12:07 ` Anton Gorlov
2 siblings, 1 reply; 25+ messages in thread
From: Andrey Konnov @ 2010-11-24 10:11 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 12:56, Alexei Takaseev пишет:
>
> Сертификаты разные для разный name-хостов?
>
> Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> те настройки, которые определены для хоста "по-умолчанию".
>
Угу, мне тоже интересно.
> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
> разные сертификаты будут работать.
Вроде можно еще на разные порты повесить.
>
> ----- Исходное сообщение -----
>> От: "Dmitriy Kruglikov" <dmitriy.kruglikov@gmail.com>
>> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
>> Отправленные: Среда, 24 Ноябрь 2010 г 17:48:09
>> Тема: Re: [Sysadmins] Настройка SSL в apache2
>> 24 ноября 2010 г. 11:34 пользователь Andrey Konnov написал:
>>
>>> Получится.
>> У меня ж получилось ;)
>>> Если ничего не путаю, надо один сертификат на все виртуальные
>>> хосты использовать.
>> У меня разные, но все работают...
>>
>>
>> --
>> Best regards,
>> Dmitriy Kruglikov.
>> QString at, dot, mail, XMPP;
>> at = "@";
>> dot = ".";
>> mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
>> XMPP = $mail;
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Andrey Konnov
ankon at altlinux.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:11 ` Andrey Konnov
@ 2010-11-24 10:14 ` Dmitriy Kruglikov
2010-11-24 12:06 ` Anton Kvashin
0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 10:14 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 12:11 пользователь Andrey Konnov написал:
> Угу, мне тоже интересно.
А мне - нет... Потому как работает...
>
>> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
>> разные сертификаты будут работать.
И адрес у меня один всего ...
>
> Вроде можно еще на разные порты повесить.
И порт стандартный... (и 80, и 443...)
Может оно и не должно, в теории, но работает ...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:56 ` Alexei Takaseev
2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:11 ` Andrey Konnov
@ 2010-11-24 12:07 ` Anton Gorlov
2010-11-24 12:13 ` Anton Kvashin
2010-11-24 12:14 ` Dmitriy Kruglikov
2 siblings, 2 replies; 25+ messages in thread
From: Anton Gorlov @ 2010-11-24 12:07 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 12:56, Alexei Takaseev пишет:
>
> Сертификаты разные для разный name-хостов?
>
> Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> те настройки, которые определены для хоста "по-умолчанию".
>
> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
> разные сертификаты будут работать.
Это уже не name based
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:07 ` Anton Gorlov
@ 2010-11-24 12:13 ` Anton Kvashin
2010-11-24 12:16 ` Dmitriy Kruglikov
2010-11-24 12:14 ` Dmitriy Kruglikov
1 sibling, 1 reply; 25+ messages in thread
From: Anton Kvashin @ 2010-11-24 12:13 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 17:07, Anton Gorlov пишет:
> 24.11.2010 12:56, Alexei Takaseev пишет:
>>
>> Сертификаты разные для разный name-хостов?
>>
>> Потому как очень все это любопытно. SSL-сессия устанавливается еще до
>> того,
>> как apache узнает к какому именно из виртуальных серверов обращение, и
>> применяет
>> те настройки, которые определены для хоста "по-умолчанию".
>>
>> Вот если для каждого виртуального сервера выделять отдельный IP, то
>> тогда да,
>> разные сертификаты будут работать.
> Это уже не name based
У Дмитрия вероятно на каждый сайт выдается один сертификат, несмотря на
"свои" конфиги для каждого. Например, сертификат default сайта.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:13 ` Anton Kvashin
@ 2010-11-24 12:16 ` Dmitriy Kruglikov
2010-11-24 12:22 ` Anton Kvashin
0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 12:16 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 14:13 пользователь Anton Kvashin написал:
> У Дмитрия вероятно на каждый сайт выдается один сертификат, несмотря на
> "свои" конфиги для каждого. Например, сертификат default сайта.
У меня на _каждый_ сайт выдается _свой_ сертификат.
Я специально проверил...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:16 ` Dmitriy Kruglikov
@ 2010-11-24 12:22 ` Anton Kvashin
2010-11-24 12:27 ` Dmitriy Kruglikov
0 siblings, 1 reply; 25+ messages in thread
From: Anton Kvashin @ 2010-11-24 12:22 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 17:16, Dmitriy Kruglikov пишет:
> 24 ноября 2010 г. 14:13 пользователь Anton Kvashin написал:
>
>> У Дмитрия вероятно на каждый сайт выдается один сертификат, несмотря на
>> "свои" конфиги для каждого. Например, сертификат default сайта.
>
> У меня на _каждый_ сайт выдается _свой_ сертификат.
> Я специально проверил...
Парни не зря переспрашивают, а разработчики факи пишут. Тогда должен
быть мультидоменный сертификат. А чтобы апач умел такие, нужно патчить.
Но если у вас и так работает, здорово.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:22 ` Anton Kvashin
@ 2010-11-24 12:27 ` Dmitriy Kruglikov
0 siblings, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 12:27 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 14:22 пользователь Anton Kvashin написал:
> Парни не зря переспрашивают, а разработчики факи пишут. Тогда должен быть
> мультидоменный сертификат. А чтобы апач умел такие, нужно патчить.
Я и слова-то такого не знаю...
"мультидоменный сертификат"...
> Но если у вас и так работает, здорово.
>
Если я не ошибаюсь, вопрошавшему нужно было именно такое поведение.
Так у меня работает.
На Сизифе...
Ни каких костылей, кроме правки конфигов и создания сертификатов.
Кому нужно, в личку, мне конфигами поделиться не жалко.
Кто хочет проверить, дам адреса, приходите и смотрите на сертификаты.
Если так работать не должно, но работает, и кто-то считает багом такое
поведение, то давайте разбираться и править...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:07 ` Anton Gorlov
2010-11-24 12:13 ` Anton Kvashin
@ 2010-11-24 12:14 ` Dmitriy Kruglikov
1 sibling, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 12:14 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 14:07 пользователь Anton Gorlov написал:
> Это уже не name based
Если у меня по адресу
https://name1.domain.com открывается страница для name1.domain.com,
а по адресу
https://name2.domain.com открывается страница для name2.domain.com,
при этом, каждая с соответствующим сертификатом,
то мне уже без разницы, как это называется...
Но делал я это по "пописалкам" для name based...
С буржуйским языком не дружу с детства, простите за незнание
документации, но у меня работает то, что я хотел получить.
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread