PDA

Bekijk Volledige Versie : SSL certificaat en shared IP



LinQ
14/12/05, 21:44
Hallo,

Ik heb een SSL certificaat gekocht en probeer 'm nu te instaleren via Plesk. Hij staat in mijn certificate lijst, maar werkt nog niet. Nu las ik dat je 'm in je IP pool toe moet voegen. Dat lukt niet want ik heb maar 1 shared IP voor mijn resell account.
Wat moet ik doen om het te laten werken?

Triloxigen
14/12/05, 21:48
Een SSL certificaat werkt enkel bij een dedicated IP.

HBCS
14/12/05, 21:48
een extra ip nummer aan je leverancier vraagen

LinQ
14/12/05, 21:50
da's lekker.. Dat knopje is dus iets te makkelijk....

Ligt dat aan Plesk of is het altijd gekoppeld aan 1 IP?

HBCS
14/12/05, 21:53
is volgens mij altijd gekoppeld aan ip

Triloxigen
14/12/05, 21:56
Een eis voor een werkend SSL certificaat is onder andere een dedicated IP.

LinQ
14/12/05, 21:57
ok, bedankt.

Henky!
14/12/05, 22:47
Vraagje, wat is een dedicated ip? Het verschil bedoel ik met een IP adres zonder het voorvoegsel dedicated??

Robs
15/12/05, 00:21
een dedicated IP wil zeggen dat er maar 1 domein op het IP adres draait.
Bij de meeste servers draaien er meerdere website op het zelfde IP (shared IP), de apache herkend welke URL gewenst is en laat dan dmv vhost de juiste website zien.

Een Plesk machine is vrijwel(maar hoeft niet) altijd shared, anders is het niet echt logisch om alleen voor 1 domein een Plesk licentie te nemen. Ook komt het niet veel voor dat een webserver honderden IP's heeft, dus bv voor elke domeinnaam 1.
Meestal deel je het IP met andere domeinnamen.

Frangkje
15/12/05, 00:43
Ehm je kunt ook gewoon op een IP adres met meerdere websites een SSL certificaat zetten toch?

Triloxigen
15/12/05, 00:46
Origineel geplaatst door Frangkje
Ehm je kunt ook gewoon op een IP adres met meerdere websites een SSL certificaat zetten toch?

Nee
1 SSL cert = 1 IP adres

Frangkje
15/12/05, 00:54
Origineel geplaatst door Triloxigen


Nee
1 SSL cert = 1 IP adres

Maar 1 IP adres != 1 website, je kunt toch rustig 100 websites op dat ene ip adres zetten zolang zosnel ze gebruik maken van HTTPS ze maar hetzelfde certificaat gebruiken.

In de praktijk:

Een server (met 1 IP adres) kan rustig 100 website draaien van klanten en (op dat zelfde IP adres) een https server draaien met certificaat voor het control panel.

Ber|Art
15/12/05, 09:02
Klopt :)

Triloxigen
15/12/05, 11:50
Origineel geplaatst door Frangkje


Maar 1 IP adres != 1 website, je kunt toch rustig 100 websites op dat ene ip adres zetten zolang zosnel ze gebruik maken van HTTPS ze maar hetzelfde certificaat gebruiken.

In de praktijk:

Een server (met 1 IP adres) kan rustig 100 website draaien van klanten en (op dat zelfde IP adres) een https server draaien met certificaat voor het control panel.

Ik heb het natuurlijk wel over een echt SSL certificaat, niet over een zelf uitgegeven certificaat met popup en dergelijke.

Een echt SSL certificaat heeft gewoon een eigen IP nodig :)
En een dergelijk SSL certificaat kan maar 1 domeinnaam bevatten.

Frangkje
15/12/05, 11:54
belsysteem.nl [84.241.129.209]
secure.smsstunter.nl [84.241.129.209]

https://secure.smsstunter.nl (ik zie geen pop-up)

lifeforms
15/12/05, 13:11
https://belsysteem.nl/ (je ziet een pop-up)

Frangkje
15/12/05, 13:35
Daarom zei ik ook een paar posten geleden:

Een server (met 1 IP adres) kan rustig 100 website draaien van klanten en (op dat zelfde IP adres) een https server draaien met certificaat voor het control panel.

Je kunt dus rustig op een shared IP adres 1 secured website (in ons geval secure.smsstunter.nl) en X gewone websites draaien. Net zoals volgens mij de TS wil.

LinQ
15/12/05, 22:17
Maar als de andere X websites ook iest secures willen doen dan maken ze gebruik van hetzelfde certificaat.

mihosnet
15/12/05, 22:19
Maar bij https://www.belsysteem.nl wel degelijk een popup, omdat het certificaat is toegewezen aan secure.smsstunter.nl.

//Edit; had de 2e pagina niet gezien.

Frangkje
15/12/05, 22:25
Origineel geplaatst door LinQ
Maar als de andere X websites ook iest secures willen doen dan maken ze gebruik van hetzelfde certificaat.

Klopt, maar wat ik duidelijk wou maken is dat de TS op een shared server met maar 1 IP adres en een 10-tal websites best een (in de vorm van 1) SSL certificaat kan installeren. (en inderdaad dan kunnen alle andere sites op dat ip adres dat certificaat niet gebruiken, maar dat kunnen ze ook niet als er geen certificaat is dus daar zie ik het probleem niet zo van in..)

Pinocchi
16/12/05, 14:53
Het komt er dus op neer dat je op elk ip adres 1 ssl site kunt zetten.

Daarbij komt dat veelal niet wenselijk is dat andere websites wanneer ze per ongeluk of bewust een ssl verbinding met hun website wordt geboden, ze dan het certificaat van een andere site en wellicht andere klant te zien krijgen (wat me doorgaans niet wenselijk lijkt voor zowel de eigenaar van het certificaat als de andere website).

Frangkje
16/12/05, 14:58
Origineel geplaatst door Pinocchi
Het komt er dus op neer dat je op elk ip adres 1 ssl site kunt zetten.



Check :)



Daarbij komt dat veelal niet wenselijk is dat andere websites wanneer ze per ongeluk of bewust een ssl verbinding met hun website wordt geboden, ze dan het certificaat van een andere site en wellicht andere klant te zien krijgen (wat me doorgaans niet wenselijk lijkt voor zowel de eigenaar van het certificaat als de andere website).


Dat ligt denk ik geheel aan de bedoeling van de server, wij hebben het bewust zo gedaan maar je kunt het natuurlijk ook zo instellen dat de overige sites alleen een error krijgen zonder dat ze naar de `hoofd' SSL site doorgestuur worden.

Stefan Mensink
16/12/05, 15:20
De reden dat je geen SSL over virtual hosts kan toepassen heeft te maken met de manier waarop SSL werkt. Dit is geen beperking van apache oid.

Wanneer een client (browser) een SSL-connectie opent met een server (in dit geval een https-connectie) stuurt de server meteen het SSL-certificaat naar de client, dus voordat de client de kans heeft de server te vertellen in welke virtual host er interesse is. Pas daarna vindt verdere communicatie plaats, zoals het GET request en de Host:-header.

Derhalve, als je meerdere virtual hosts op een enkel IP-adres of poort hebt krijg je altijd hetzelfde certificaat. Omdat in dit certificaat de naam van de virtual host staat zal je veelal de melding krijgen dat deze niet overeenkomt.

Door voor verschillende virtualhosts een ander IP of een andere poort te gebruiken kan je dit probleem omzeilen. Een andere poort is trouwens meestal niet zo praktisch in verband met proxy servers en (bedrijfs)firewalls.