Più certificati ssl su stesso IP

[Uno]

Il limite di apache (correggetemi se sbaglio) è accettare normalmente un solo certificato per IP, altrimenti ho visto che si può installare l'estensione TLS ma bisogna pacthare e ricompilare apache e openssl.
Conoscete altri sistemi?

Se ho la possibilità di usare ip locali in rete interna, diversi per ogni sito a cui mi occorre ssl (rimappati da iptables su l'ip esterno), dovrebbe anche funzionare vero?

Grazie per le eventuali risposte

[cbs]

Per ogni Virtualhost SSL devi avere un indirizzo IP pubblico distinto. Non è questione di Apache o di IIS ma di protocollo SSL infatti per come funziona il protocollo https, non e' possibile ricavare il nome host dallo header quando un cliente stabilisce una connessione al server apache, e per cui apache non sa per quale nome si richiede connessione, ma soltanto l'IP, quindi il certificato che ti serve apache è quello del primo virtualhost della lista.

Ciao

[Alex]

forse anche se non l'ho mai provato mette apache in listen ssl su più porte ... ma è una prassi fuori standard

[cbs]

forse anche se non l'ho mai provato mette apache in listen ssl su più porte ... ma è una prassi fuori standard

Si funziona ma obblighi gli utenti a digitare https://sitoweb:XXX dove XXX è il numero della porta in ascolto. Diciamo che per fare dei test va bene, un pò meno in produzione.

Ciao

[Alex]

Si funziona ma obblighi gli utenti a digitare https://sitoweb:XXX dove XXX è il numero della porta in ascolto. Diciamo che per fare dei test va bene, un pò meno in produzione.

Ciao

si ovvio ho detto che è una procedura fuori dall'ordinario ma funziona.

[Uno]

Per ogni Virtualhost SSL devi avere un indirizzo IP pubblico distinto. Non è questione di Apache o di IIS ma di protocollo SSL infatti per come funziona il protocollo https, non e' possibile ricavare il nome host dallo header quando un cliente stabilisce una connessione al server apache, e per cui apache non sa per quale nome si richiede connessione, ma soltanto l'IP, quindi il certificato che ti serve apache è quello del primo virtualhost della lista.

Ciao

Come non è Apache?
Se usi il TLS come scritto sopra va e anche sulla porta standart, ma pare che ci siano problemi con i browser meno recenti, e questo è un limite che non accetto, inoltre non mi va di patchare con estensioni ancora giovani.

Quello a cui pensavo era:
Dato che lavoro con delle vps, posso assegnargli quanti ip privati voglio, privato o pubblico è sufficiente per assegnargli il certificato, l'unico problema è che non sarebbe accessibile da fuori, ma se gli faccio un nat in cui mando ip pubblico>example.com>ip privato dovrebbe funzionare, solo che non ci ho mai provato e chiedevo se qualcuno lo avesse già fatto... comunque proverò.
Mi secca far richiesta di altri ip quando poi in realtà non mi servono tutto sommato.

Ciao


p.s. a chi interessa il TLS http://www.howtoforge.com/enable-mul...on-debian-etch
qua ne descrivono bene come implementarlo

[Uno]

Si funziona ma obblighi gli utenti a digitare https://sitoweb:XXX dove XXX è il numero della porta in ascolto. Diciamo che per fare dei test va bene, un pò meno in produzione.

Ciao

Ah, tutto sommato se un sito usa l'http per tutto e l'https solo per login e parti riservate, l'utente clicca i link e non si accorge neanche se gli metto un numero di porta in più, ma quello che dicevo io dovrebbe essere trasparente completamente se riesco a farlo funzionare.
Riciao

[decibel83]

Ma utilizzando un certificato SSL wilcarded (valido per l'intero dominio di secondo livello - *.miodominio.it) non si risolve il problema?
Oppure anche in questo caso ogni sottodominio deve avere un indirizzo IP differente?

[Uno]

Non ho idea Decibel con i sottodomini, comunque penso che quello che dici sia giusto, il fatto è che a me serve per domini diversi.
Non ho ancora avuto tempo di provare... ma a giorni ci provo.