[sage] vhost ohne TLS bei SNI
Lars Wilke
lars.wilke at guug.de
Wed Feb 12 12:30:42 CET 2014
* Dirk Wetter wrote:
> jemand eine saubere Idee?
>
> KOnstellation
>
> vhost1: Port 80+443
> vhost2: Port 80+443
> vhost3: Port 80
>
> openssl s_client -connect <vhost3>:443 -servername <vhost3> </dev/null
>
> gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
> ich erwartet, dass SNI auch das verhindert.
IIUC gehört das so. Apache nimmt mangels Definition den ersten vHost als
default und nutzt dann auch dessen Zertifikat für die weitere Kommunikation.
ServerName wird dabei dann ignoriert.
Du kannst probieren einen _default_ vHost zu definieren.
Alternativ wäre noch ein Versuch mit ServerAlias vhost3 in vhost1 denkbar,
dann eine Rewrite Regel im vHost1. Gibt aber vermtl. einen Zertifikatsfehler.
hth
--lars
More information about the SAGE
mailing list