LINUX.ORG.RU
ФорумAdmin

Apache и два разных CA (сертификаты)


0

1

Возникла проблема. Есть сервер с виртуальными хостами. Был self signed ssl сертификат, всё было нормально. Купили «настоящий» сертификат для одного из сайтов site1.domain.com. После чего остальные сайты вида siteX.domain.com начали ругаться, мол, у вас сертификат от site1 - не подходит. Хотя, в сертификатах ко всем siteX по-прежнему указан старый self signed сертификат (SSLCertificateFile и SSLCertificateKeyFile).

В site1 нужно было указать SSLCertificateChainFile и SSLCACertificateFile, которые указывают на CA, присланные от провайдера сертификатa. Пробовал указать вышеназванные два параметра явно для self-signed cert сайтов - безрезультатно.

Вопрос: как сделать так, чтобы сайты с self-signed сертификатом не писали о том, что они - не site1, и вообще, отчего так происходит?


Хреново дела обстоят с virtual hostname-based хостингом. Читай теорию, Читай, как происходит SSL соединение. Сперва установка шифрованного соединения, а только потом уже запрос хостнейма. например тут.

lnx
()

Если есть возможность - то повесь эти хосты на разные IP-адреса. Если нет, то гугли Server Name Indication

amgorb
()
Ответ на: комментарий от lnx

Да-да, спасибо за ссылку. Правда, пока всё равно не ясно, как же обойти.

maxkit
() автор топика
Ответ на: комментарий от maxkit

>А они и так на разных IP-адресах.

Тогда надо правильно всё настроить. Читай про IP-based virtual hosting.
А на одном IP можно обойти всё это на костылях, повесив шифрованные хосты на разные порты, сделать не шифрованные виртуальные хосты и с них редиректить.
типа:
http://host1.dom -> https://host1.dom:8010
http://host2.dom -> https://host2.dom:8020
и т.д.

lnx
()
Ответ на: комментарий от lnx

Спасибо, так и сделал. Правда, костыли.

maxkit
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.