[l-linux] Certificados ssl en apache para https pero 1 una sola ip publica en hosting?

Discussion:

Jose

2012-07-12 13:15:01 UTC

Buenos dias.

tengo el siguiente escenario.

tengo un servidor hosting (con isp-control) donde alojo un total de 19
dominios.

Que pasa si 2 clientes diferentes (dominios diferentes) me piden
subdominios pero con conexion segura?

Pense en lo siguiente, usar lo que llaman "comodin" en ssl y crear los
certificados con el CN de la siguiente manera

*.cliente1.com.ve
*.cliente2.com.ve

Pero la duda que tengo es si eso pueda funcionar (teniendo 1 sola ip
publica) sin problemas aun importanto la ca-raiz en el navegador para
la relacion de confianza, tomando en cuenta que son dominios
diferentes misma ip publica.

En una prueba para un mismo dominio (en otro ambiente), se crearon
diferentes subdominios (mismo dominio) para conexiones seguras y use
un mismo certificados para todos los vhost con el CN *.midominio.com y
funciono sin problemas, claro importando la ca-raiz para que el
navegador dejara pasar.

No se si en terminos legales esta practica es permitda por sucerte.

De no ser permitido, una empresa o institucion que tenga 20 servicios
publicos con conexion segura, va a necesitar pagarle al ISP 20
direcciones IP publicas mas para dicho fin.

gracias por la atencion.

--
#############################
# Sistema Operativo: Debian #
# Caracas, Venezuela #
#############################

Francisco Andrades Grassi

2012-07-12 13:22:33 UTC

Permalink

Saludos,

La ?nica forma de hacerlo funcionar es utilizando puertos distintos. Es imposible hacerlo utilizando el mismo puerto para todos, ya que el cliente enviar? el nombre del virtualhost despu?s de que el t?nel SSL sea creado (y ya el servidor web haya escogido un certificado).

Nelson Nieto

2012-07-12 13:32:24 UTC

Permalink

http://en.gentoo-wiki.com/wiki/Apache2/SSL_and_Name_Based_Virtual_Hosts

revisa ese link, google me envio para alla, hace a?os escuche de
mod_gnutls y creo que por alli van los tiros, suerte.

Post by Jose
Buenos dias.
tengo el siguiente escenario.
tengo un servidor hosting (con isp-control) donde alojo un total de 19
dominios.
Que pasa si 2 clientes diferentes (dominios diferentes) me piden
subdominios pero con conexion segura?
Pense en lo siguiente, usar lo que llaman "comodin" en ssl y crear los
certificados con el CN de la siguiente manera
*.cliente1.com.ve
*.cliente2.com.ve
Pero la duda que tengo es si eso pueda funcionar (teniendo 1 sola ip
publica) sin problemas aun importanto la ca-raiz en el navegador para
la relacion de confianza, tomando en cuenta que son dominios
diferentes misma ip publica.
En una prueba para un mismo dominio (en otro ambiente), se crearon
diferentes subdominios (mismo dominio) para conexiones seguras y use
un mismo certificados para todos los vhost con el CN *.midominio.com y
funciono sin problemas, claro importando la ca-raiz para que el
navegador dejara pasar.
No se si en terminos legales esta practica es permitda por sucerte.
De no ser permitido, una empresa o institucion que tenga 20 servicios
publicos con conexion segura, va a necesitar pagarle al ISP 20
direcciones IP publicas mas para dicho fin.
gracias por la atencion.

Miguel Landaeta

2012-07-12 17:18:00 UTC

Permalink

Post by Nelson Nieto
http://en.gentoo-wiki.com/wiki/Apache2/SSL_and_Name_Based_Virtual_Hosts
revisa ese link, google me envio para alla, hace a?os escuche de mod_gnutls
y creo que por alli van los tiros, suerte.

Ya con Apache 2.2.12 en adelante y mod_ssl est? soportado.

http://www.techrepublic.com/blog/opensource/configure-apache-to-support-multiple-ssl-sites-on-a-single-ip-address/987

El paquete apache2 de Debian stable tiene soporte.

--
Miguel Landaeta, nomadium at gmail.com
secure email with PGP 0x6E608B637D8967E9 available at http://keyserver.pgp.com/
"Faith means not wanting to know what is true." -- Nietzsche

rgomez

2012-07-12 22:41:31 UTC

Permalink

Hola Jose,

----- El mensaje original aparece a la continuaci?n -----
Remitente: Jose <j.sejo1 at gmail.com>
A: Foro Velug l-linux <l-linux at velug.org.ve>
Asunto: [l-linux] Certificados ssl en apache para https pero
1 una sola ip publica en hosting?
Fecha: Thu, 12 Jul 2012 08:45:01 -0430

No habria problema porque podrias crear virtual hosts
especificos para cada dominio y activar el SSLEngine en cada
uno de manera independiente.

Post by Jose
Pense en lo siguiente, usar lo que llaman "comodin" en ssl
y crear los certificados con el CN de la siguiente manera
*.cliente1.com.ve
*.cliente2.com.ve
Pero la duda que tengo es si eso pueda funcionar (teniendo
1 sola ip publica) sin problemas aun importanto la ca-raiz
en el navegador para la relacion de confianza, tomando en
cuenta que son dominios diferentes misma ip publica.

En el caso de los certificados, la IP no es de importancia
sino el COMMON NAME del certificado, si es
*.cliente1.com.ve, ese va a ser el dominio al que apunta
mientras mantenga una cadena de confianza valida, no vas a
tener problemas de ningun tipo.

Post by Jose
En una prueba para un mismo dominio (en otro ambiente), se
crearon diferentes subdominios (mismo dominio) para
conexiones seguras y use un mismo certificados para todos
los vhost con el CN *.midominio.com y funciono sin
problemas, claro importando la ca-raiz para que el
navegador dejara pasar.
No se si en terminos legales esta practica es permitda
por sucerte.
De no ser permitido, una empresa o institucion que tenga
20 servicios publicos con conexion segura, va a necesitar
pagarle al ISP 20 direcciones IP publicas mas para dicho
fin.
gracias por la atencion.

Como te comente, no te enfoques tanto en las direccions IP
sino en el COMMON NAME que le colocaste al certificado como
tal. Y no veo el problema con la parte legal, tu puedes
apuntar "N" dominios a una IP.

Post by Jose
--
#############################
# Sistema Operativo: Debian #
# Caracas, Venezuela #
#############################
__________________________________________________________
___________________ La lista de correo
l-linux at velug.org.ve requiere suscribirse para participar.
Para consultas interactivas visite el canal IRC #velug en
irc.freenode.net Si desea suscribirse, retirarse o leer
las normas de uso visite el sitio
http://listas.velug.org.ve/mailman/listinfo/l-linux

Alejandro Imass

2012-07-13 00:32:02 UTC

Permalink

Post by rgomez
Hola Jose,
----- El mensaje original aparece a la continuaci?n -----
Remitente: Jose <j.sejo1 at gmail.com>
A: Foro Velug l-linux <l-linux at velug.org.ve>
Asunto: [l-linux] Certificados ssl en apache para https pero
1 una sola ip publica en hosting?
Fecha: Thu, 12 Jul 2012 08:45:01 -0430

No habria problema porque podrias crear virtual hosts
especificos para cada dominio y activar el SSLEngine en cada
uno de manera independiente.

Cierto y Falso. Si bien es cierto que Apache soporta vhost en ssl la
parte de "No habr?a problema" es falsa ya que ning?n IE de Windows XP
(al menos ni 6 ni 7) y algunos otros browsers no soportan Server Name
Indication (SNI) con ssl y por ende los Virtual Hosts en Apache van a
entregar el certificado incorrecto (siempre el del primer virtual
host). No s? con IE 8 que entiendo que ahora est? disponible para XP,
y no s? mucho de Windoze pero entiendo que era una limitante de XP no
de los browsers.

La ?nica forma de asegurar no tener problemas con vhost y HTTPS es con
m?ltiples IP y hace vhost por IP y no por nombre. Claro, si no te
interesa el acceso por usuarios de Win XP (que sigue siendo la versi?n
dominante de los usuarios Windows a nivel mundial), sencillamente
haces un redirect por user-agent (e.g. RewriteCond %{HTTP_USER_AGENT})
a una pagina de error y les dice que dejen de usar esa porquer?a de
M$.

Saludes!

--
Alejandro Imass