keine zwei unterschiedlichen serverzertifikate auf einem server möglich?

    hallo,


    folgende situation:
    wir haben eine notes-datenbank (bewerber-db für unsere personalabteilung) die über http ein formular im web bereitstellt. die daten wurden bislang unverschlüsselt übertragen, sollen aber nun auf eine verschlüsselte verbindung umgelenkt werden. dazu haben wir ein server-cert erstellt und von verisign signieren lassen - klappt auch wunderbar.


    nun habe ich aber auch eine selbstsignierte domino-ca, die ich gerne parallel weiter einsetzen möchte, um internetzertifikate für unsere mitarbeiter zu erstellen, die dann mit hilfe ihrer zertifikate auch eine (verschlüsselte) verbindung zu ihrer mail-db aufbauen können.
    habe nun unter konfiguration -> web -> internet site eine zweite webseite definiert: eine hört auf den hostnamen www.notes... und soll für den zugriff auf die bewerber-db mit hilfe des "sauber" signierten verisign zertifikates dienen (damit die bewerber nicht direkt abgeschreckt werden ;-)).
    die zweite site soll auf www.mail.... hören und das zertifikat unserer selbstsignierten domino-ca verwenden. habe die beiden keyfile-paare jeweils entsprechend in der konfiguration des jeweiligen webs angegeben, doch der server ignoriert dies geflissentlich...
    er präsentiert mir immer nur das zertifikat der site, die als defualt definiert wurde. bei allen anderen einstellungen scheint er aber sehr wohl nach der konfiguration der jeweiligen site zu unterscheiden.... kann man generell nur ein einziges keyfile verwenden?! wäre ziemlich doof, wenn man über domino verschiedene webseiten, z.B. für kunden hosten würde....


    beste grüße,
    patrick

    Die Einschränungen auf die Du da triffst sind nicht bei Domino zu suchen, sondern bei SSL.
    Pro IP-Adresse wird nur ein Zertifikat unterstützt. Du benötigst also noch eine IP-Adresse und bindest diese an diese an die 2. Seite.


    Das ist auch bei Apache, IIS, usw. so.
    In der Admin-Hilfe wird das auch bei der Einrichtung der Webserver erwähnt, so nebenbei.

    Bye
    Torsten


    IBM Advanced Certified System Administrator - Lotus Notes and Domino 8.5

    hallo,
    die adminhilfe hatte ich mir diesbzgl. auch schon reingezogen, aber die war leider stellenweise etwas zweideutig. dort war zwar davon die rede, dass man die server-ip-adresse bei der verwendung von ssl angeben muss, aber an anderer stelle stand auch, dass man problemlos zwei unterschiedliche websites unter der gleichen ip-adresse, aber mit unterschiedlichem hostnamen laufen lassen kann. so eindeutig wie du es hier formulierst, habe ich dazu in der doku leider nichts gefunden.
    zumindest hilft mir deine aussage schon mal insofern sehr viel weiter, als dass ich nun nicht mehr den bereits fortgeschrittenen abend mit vergeblichen versuchen vergeude, das ganze doch noch irgendwie unter verwendung einer einzigen ip-adresse ans fliegen zu bekommen ;)


    danke & beste grüße,
    patrick

    Sieh dir mal die Internet Site-Dokumente an (Im Domino Verzeichnis unter Konfiguration\Web).


    Du kannst damit unter einer IP-Adresse verschiedene logische Sites definieren, z. B. http://www.assono.com und http://www.assono.de.


    Wenn vom DNS beide Adressen auf die gleiche numerische IP-Adresse abgebildet werden, kann der Domino-Server mit unterschiedlichen Seiten antworten.


    Der Clou dabei ist, dass beide Sites verschiedene SSL-Einstellungen, also auch unterschiedliche Keyrings haben können.


    HTH
    Thomas

    @Deragon


    Genau das ist ja das Problem.
    SSL hat nunmal grundsätzlich die Einschränkung, daß es an eine IP-Adresse gebunden ist, d.h. zwei Internet Site Dokumente auf die gleiche IP können nicht zwei verschiedene SSL Zertifikate verwenden.
    Das hat mit Domino soweit erst mal gar nichts zu tun.

    taurec
    Hmm, aber im Beispiel sind http://www.assono.com und http://www.assono.de doch verschiedene Adressen. Und im SSL-Zerifikat werden doch nicht die numerischen IP-Adressen eingetragen. Auf alle Fälle kann ich in den beiden Internet Site-Dokumenten verschiedene Keyrings mit unterschiedlichen Zertifikaten angeben, z. B. eines auf die .com und eines auf die .de-Adresse.


    Ich habe das nicht getestet und wenn du dir sicher bist, dass es nicht geht, geht es wahrscheinlich auch nicht, aber... vielleicht doch?



    Ciao
    Thomas

    Ich weiss dass es nicht geht, da eine SSL Anfrage eben doch über die IP läuft und damit wird das erste übereinstimmende Web Site Dokument genommen.


    Und die Beschreibung des Fragestellers bestätigt das ja auch, da er genau diese Effekt bekommt

    http://www.assono.com und http://www.assono.de verweisen beide auf die selbe IP-Adresse und haben auch nur ein Zertifikat (das von http://www.assono.de).


    Damit ist alles prima.


    Das Problem hier ist, daß ein weiteres Zertifikat benutzt werden soll.
    Ein weiteres Zertifikat funktioniert aber nur mit einer weiteren IP-Adresse.
    Wenn Assono je ein Zertifikat für .com und .de hätte, bräuchte man dort auch 2 IP-Adressen.

    Bye
    Torsten


    IBM Advanced Certified System Administrator - Lotus Notes and Domino 8.5

    Klar, http://www.assono.de und http://www.assono.com haben ein (und das gleiche) Zertifikat.


    Was mich aber wundert, ist: Bei der Erstellung eines Zertifikats wird doch keine numerische IP-Adresse angegeben, sondern die alphanumerische. Also kann SSL doch auch nur gegen die alphanumerische (z. B. http://www.assono.de) prüfen, oder habe ich da einen Denkfehler?


    Wenn das so wäre, dann könnte ich doch je ein Zertifikat auf http://www.assono.de und ein anderes auf http://www.assono.com ausstellen (lassen).


    Ich binde jeweils ein Zerifikat in einen eigenen Keyring ein.


    Den einen Keyring gebe ich in einem Internet Site-Dokument an, den anderen in das andere.


    Erhält der Server eine Anfrage an http://www.assono.de liefert er das eine Zertifikat aus, das der Browser gegen http://www.assono.de checkt, was ja auch so im Zerifikat drin steht.


    Erhält der Server eine Anfrage an http://www.assono.com liefert er das andere Zertifikat aus, das der Browser gegen http://www.assono.com checkt, was ja auch so im Zerifikat drin steht.



    An welcher Stelle soll SSL gegen die numerische IP-Adresse gehen? Die ist natürlich (in meinem Fall) identisch. Alles andere jedoch getrennt und zweifach vorhanden.



    Wie gesagt, keine Erfahrung, nur Theorie...


    Ciao
    Thomas

    @Deragon


    Es stimmt schon, daß du im Web Site Dokument einen Hostnamen angibst, aber in bezug auf ein SSL zertifikat wird dieser Hostname dann tatsächlich auf die IP-Adresse aufgelöst und damit greift dann nur jeweils das erste SSL Zertifikat.
    Kannst es ja gerne mal bei dir ausprobieren, indem du ein zweites für die assono.com rechnest.
    Dann wirst du trotzdem bei beiden immer nur ein und dasselbe Zertifikat bekommen und zwar das im zuerst angelegten Web Site Dokument.


    Für die restlichen Einstellungen was HTTP angeht stimmt deine Aussage allerdings. Hier greifen die Einstellungen anhand des Hostnamens.
    Das sind wie gesagt keine Domino sondern ganz allgemeine Einschränkungen. Beim Apache z.B. läuft das analog

    Hi Deragon,


    das vorgehen bei SSL kannst Du Dir folgendermaßen vorstellen:


    1. Der Browser ruft eine URL abc.de auf
    2. für einen SSL Zugriff wird ein Tunnel zu der entsprechenden IP 1.2.3.4 aufgebaut (und im Falle Domino dort die Default-Webseite samt Zertifikat gezogen)
    3. Wenn der Tunnel steht, wird in diesem Tunnel nochmal die URL abc.de angefragt - und die passt zu dem Zertifikat oder eben auch nicht :(


    Als Option gibt es noch SSL-Wildcard-Zertifikate (*.abc.de). Die kosten ca. das 3-x-fache, decken aber auch mehrere Subdomains ab, so daß z.B. mail.abc.de, intranet.abc.de, xxx.abc.de halbwegs sauber SSL seitig abgedeckt werden, solange nur eine IP zur Verfügung steht.


    /EDIT
    Ich musste lange suchen, habs aber doch noch hier gefunden. Es ist quasi schon ein historisches Dokument :)

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.