1 IP und mehrere SSL Zertifikate ???

lodsnods · 27. Januar 2005

Hi,

ich bin hier gerade am rumprobieren und bekomme aber folgendes Problem nicht gelöst. Ich habe einen Server (Linux, Dom 6.5.3) mit einer IP-Adresse. Der Server ist auf das Arbeiten mit Internet-Sites konfiguriert.

Ich habe 2 Sites http://www.aaa.de und http://www.bbb.de eingerichtet und mir für beide ein eigenes Zertifikat aaa.kyr und bbb.kyr generiert und in den jeweiligen Site-Dokument hinterlegt.
Aber wie ich es auch drehe und wende, irgendwie wird immer nur ein Zertifikat genommen. Habe ich irgendwo einen Denkfehler oder ist es nach wie vor so: 1 IP = 1 Zertifikat.

Oder kann ich die beiden URLs irgendwie in ein Zertifikat packen, das dann für beide URLs funktioniert?

RockWilder · 27. Januar 2005

Laut Knowledgebase (1088042) soll das wohl so sein, dass pro IP nur ein Zertifikat erlaubt ist. Jedenfalls in 5. Wenn du einen 6er Server vor dir hast, bin ich auch überfragt

Zitat

Problem
You create two virtual servers, both with a unique key ring file to run SSL. Your base server also has a unique key ring file to run SSL. Due to unavailability of IP addresses, you map both virtual servers to one IP address (the base server has its own unique IP address) and give each a unique host name on the Virtual Server document. You do this because in the Administration Help under the section "Setting up multiple web sites on one server" it states that:

"1. Set up each virtual server with its own separate, permanent numeric IP address or map multiple names to the same IP address. See your operating system documentation for more information."

You interpret this information to mean your setup should work.

You start the HTTP task, access virtual server 1, view the certificate, and see the unique certificate for virtual server 1. You access virtual server 2, view the certificate, but see the certificate for the base server not virtual server 2. Therefore, you enter the command "tell http show security" on the console and notice that virtual server 2 is "configured by parent" and not by the Virtual Server document as expected.

Solution
This issue has been reported to Lotus Quality Engineering. There are currently no plans to address this issue in Notes/Domino R5; however, a change is being investigated for the next major Notes/Domino release.

In R5, you must assign each virtual server its own IP address. Without separate IP addresses, the virtual server functions as a virtual host.

Alles anzeigen

CarstenH · 28. Januar 2005

Da du Version 6 benutzt sollte es problemlos(!) gehen. Die Zertifikate werden für den FQHN, also auf den Namen, ausgestellt. Die IP ist den Zertifikaten eigentlich überhaupt nicht bekannt. Sofern nicht ein Bug in der verwendeten Version vorliegt solltest du deine Konfiguration nochmal genauer anschauen.

RockWilder · 28. Januar 2005

Zitat

CarstenH schrieb:
Da du Version 6 benutzt sollte es problemlos(!) gehen

Ich gebe zu, wer lesen kann ist klar im Vorteil [Blockierte Grafik: http://www.zr750.de/logos/smilys/au_mann.gif]

lodsnods · 28. Januar 2005

Hi,

wie gesagt, es ist ein 6.5.3 unter Linux. In der Console zeigt er mir auch die richtigen Zertifikate an - nur wenn ich die Seite mit dem Browser öffne, kommt immer das KundeA-Zertifikat.

Code

> tell http show security
28.01.2005 10:40:02    
28.01.2005 10:40:02   Web Site:  Homepage (www.KundeA.de)
28.01.2005 10:40:02      SSL enabled
28.01.2005 10:40:02      Key file name: /opt/lotus/https/KundeA/KundeA.kyr
28.01.2005 10:40:02      Secure server not started Waiting for HTTPS request
28.01.2005 10:40:02    
28.01.2005 10:40:03   Web Site:  Homepage (www.KundeB.de)
28.01.2005 10:40:03      SSL enabled
28.01.2005 10:40:03      Key file name: /opt/lotus/https/KundeB/KundeB.kyr
28.01.2005 10:40:03      Secure server not started Waiting for HTTPS request
28.01.2005 10:40:03    
28.01.2005 10:40:03   Web Site: Globales SSL Zertifikat ()
28.01.2005 10:40:03      SSL enabled
28.01.2005 10:40:03      Key file name: /opt/lotus/https/KundeA/KundeA.kyr
28.01.2005 10:40:03      Secure server not started Waiting for HTTPS request

Alles anzeigen

In dem Site-Dokument habe ich unter "Dominoserver, die diese Website hosten" ein Stern stehen. Muß da evtl. die IP-Adresse rein? Sollte eigentlich egal sein aber ich probier es einfach mal aus.

lodsnods · 28. Januar 2005

Hi,

noch eine kleine Ergänzung. Domino scheint immer nur das Zertifikat der Vorgabe-Site (KundeA) - mit all seinen Einstellungen zu nehmen.

Also wenn ich https://KundeB eingebe, meckert er erst das falsche Zertifikat an und nimmt dann die Vorgabeeinstellungen - ich lande also auf der WebSite von KundeA :-?

Wenn ich keine Vorgabe-Site eintichte, geht HTTPS überhaupt nicht. Es scheint also so zu sein, das Domino die eingehende WebSite garnicht mitbekommt, wenn es eine HTTPS-Anfrage ist.

Mit einfachen HTTP-Aufrufen komme ich immer korrekt an.
Scheint also irgendwie ein Bug in Notes zu sein

lodsnods · 1. Februar 2005

Hallo Carsten,

ich hoffe ja immer noch inständig, daß Du in der Angelegenheit Recht hast, aber ich habe noch was gefunden, was dagegen spricht:

IBM - Notes/Domino 6 Forum

Zitat

It sounds like you are running up against a limitation in the SSL protocol itself.

The client and server will perform the SSL handshake, including passing certificates back and forth, before the client has the opportunity to ask for a URL. This results in the server only being able to distinguish between "internet sites" and server certificates based on the IP address of the request. This isn't a problem that we can fix in Notes -- it's a bug in the SSL protocol itself, which was designed when IP addresses were easy to come by, well before NAT and virtual web-hosting became commonplace.

If you want to run multiple https sites on a single server, that server will need to have at least one IP address per keyring file.

Good luck,

dave

Alles anzeigen

Heini2 · 22. Februar 2005

Leider benötigt jedes ssl Zertifikat eine eigene IP Adresse. Das ist auch bei Apache und Konsorten leider auch so und ein Sicherheitsmerkmal und kein Problem von Domino an sich. Evtl. müßte man sich auf Unterzertifikate einigen.
Das würde dann in etwas wie
kundea.ueberzertifikat.tld
kundeb.ueberzertifikat.tld
kundec.ueberzertifikat.tld
Oder man arbeitet mit mehreren IP Adressen, das geht auch mit einer Netzwerkkarte(ich erwähne das nur weil sich das Gerücht hartnäckig hält das nur 1 IP pro Netzwerkkarte möglich ist). Meine Server im Web haben bis zu 16 IP Adressen, bis zu 4 sollte man vom Provider ohne große Kosten erhalten, in einem privaten (Firmennetz) sollten IP Adressen nicht wirklich ein Problem sein.
Wie gesagt kein Domino Problem und nicht wirklich eine Lösung aber evtl. hilft es ja.
Gruß
Heini

lodsnods · 23. Februar 2005

Hi,

danke für die Info - Du bestätigst das, was ich auch schon befürchtet und mittlerweile im Internet recherchiert habe. Es scheint ein generelles SSL "Problem" zu sein (siehe auch mein vorheriges Posting). Der Tunnel wird auf IP-Ebene ausgehandelt, die URL wird dann über diesen Tunnel angefragt - aber da sind schon alle (SSL-) Messen gelesen.

Meine letzte Hoffnung ist, mehrere Domains in eine(!!!) *.kyr zu packen - schließlich nennt sich das Teil ja auch Schlüsselring :-). Ich hoffe, ich komme Ende der Woche dazu, dies zu testen ...

PS: man kann auch Zertifikate ala *.domain.tld ausstellen - so erschlägt man alle Subdomains mit einem einzigen Zertifikat.

[color=993366]/Edit
Hab's gerade getestet - es geht leider nicht. Pro Keyring geht nur eine URL ...[/color]

1 IP und mehrere SSL Zertifikate ???

Teilen

Benutzer online in diesem Thema