Vlákno názorů k článku SSL autentizácia s webovým serverom Apache od duffy - Ahoj, Vyborny clanok! Chcem sa opytat, akym sposobom riesit...

dat do subjectAltName všechny jména pod kterými je možné na server dosáhnout, tedy fqdn všech virtuálů. To ale není vhodné, pokud poskytuješ hosting. Dá se to použít pokud těch virtuál máš pár. Být tebou, vydám každému virtuálu vlastní certifikát.

Ahoj,

S vidanim certifikatov nie je problem, ale je mozne v apache pouzivat viac certifikavot naraz?

Pokial viem, tak so SSLv3 nemozes na jednom sockete (IP:PORT) prevadzkovat viac virtualhostov kvoli tomu, ze SSL sa nachadza medzi transportnou a aplikacnou vrstvou. Kym server nenadviaze s klientom SSL spojenie nemoze zistit z klientskeho dotazu (aplikacna vrstva) na aku URL pristupuje. Rieseni tohto obmedzenia je viacero: mozes napriklad pridavat dalsie IP adresy a pustat virtualhost s inym certifikatom na kazdej z nich, mozes vyuzit dalsie porty na jednej IP adrese (pouzivatel ale bude musiet v URL tento port uviest) alebo ako uz bolo uvedene vyssie da sa vydat jeden certifikat, ktory bude obsahovat v rozsireni subjectAlterna­tiveName FQDN vsetkych obsluhovanych webov.

Pozri sa vsak aj na link uvedeny vyssie v diskusii – http://en.gentoo-wiki.com/…irtual_Hosts – kde sa pise, ze TLS 1.0 uz podporuje aj stav, ked klient pri nadvazovani SSL spojenia zasle serveru informaciu na aky hostname pristupuje a web server podla toho moze zvolit virtualhost (a certifikat), ktorym klienta obsluzi. Na uvedenej adrese mas aj priklad konfiguracie pre Apache s mod_ssl. Viem si vsak predstavit, ze spolocnosti poskytujuce hosting toto riesenie nebudu chciet pouzit kedze napriklad (bohuzial stale pouzivany) IE6 TLS 1.0 nepodporuje.

da sa vyuzit protocol upgrade v ramci nesifrovaneho HTTP (http://www.ietf.orgrfc/rfc2817.txt), ale v praxi som sa s tym nestretol. ide prakticky o nieco podobne ako STARTTLS v ramci SMTP…

pre uri schemu https sa da vyuzit Server Name Indication.