Ich krieg es nicht gebacken

[Silvio]

Hallo zusammen

Ich setze meinen ersten Domino WebMail server auf und diese gleich mit 3x SSL Zertifikaten. Soweit ich die Admin Literatur verstanden habe müssen je WebMail Adresse je ein Internet Site Dokument angelegt werden. Mit 1 WebMail Adresse funktioniert alles wie es soll. Auch die Verwendung von dwaredir.nsf & domcfg.nsf funktioniert. Die Adressen lauten i.e. wm.domain1.com, wm.domain2.com, wm.domain3.com.

Konfiguriere ich nun die 2. Adresse erhalte ich auf der Konsole die Meldung 'HTTP Server: Warning, duplicate WebSite IP address or Hostname [10.11.12.13]' Das passiert dann wenn im Feld-'Host names or addresses mapped to this site:' wieder die gleiche Ziel IP Adresse [10.11.12.13] eingetragen ist. Das hat zur folge das auf der Konsole die Meldung 'HTTP Server: SSL handshake failure, no website found for IP address [10.11.12.13]'. Danach funktioniert gar nix mehr. Diese Meldung ohne grossen Aufwand zu verhindern wäre hier das Ziel.

Gemäss Admin Hilfe sollte eine x-te IP Adresse zur Netzwerkkarte des Servers eingetragen werden, aber ich möchte trotzdem wissen ob anstelle einer IP Adresse auch Namentlich verschiedene DNS Namen die wiederum allesamt auf die gleiche IP Adressen zeigen funktionieren kann.

Leider habe ich keinen Testumgebung (auch keine VM möglich ) in der ich es nach Lust & Laune treiben kann, da verwendeter Domino server bereits für diverse Homepage Auftritte verwendet wird. Darum wünsche ich mir hier lieber eine gute URL die sich mit solchen konfigurations Herrausforderungen befasst.

vielen Dank für eure URLs und nützliche Tipps

[m3]

1) Netiquette:
http://www.tty1.net/smart-questions_de.html#bespecific
Danke!

2) NEIN!
Die Apache-Konfig hat eine schöne Erklärung, warum das nicht geht:

Why can't I use SSL with name-based/non-IP-based virtual hosts?

The reason is very technical, and a somewhat "chicken and egg" problem. The SSL protocol layer stays below the HTTP protocol layer and encapsulates HTTP. When an SSL connection (HTTPS) is established Apache/mod_ssl has to negotiate the SSL protocol parameters with the client. For this, mod_ssl has to consult the configuration of the virtual server (for instance it has to look for the cipher suite, the server certificate, etc.). But in order to go to the correct virtual server Apache has to know the Host HTTP header field. To do this, the HTTP request header has to be read. This cannot be done before the SSL handshake is finished, but the information is needed in order to complete the SSL handshake phase. Bingo!


Why is it not possible to use Name-Based Virtual Hosting to identify different SSL virtual hosts?

Name-Based Virtual Hosting is a very popular method of identifying different virtual hosts. It allows you to use the same IP address and the same port number for many different sites. When people move on to SSL, it seems natural to assume that the same method can be used to have lots of different SSL virtual hosts on the same server.

It comes as rather a shock to learn that it is impossible.

The reason is that the SSL protocol is a separate layer which encapsulates the HTTP protocol. So the SSL session is a separate transaction, that takes place before the HTTP session has begun. The server receives an SSL request on IP address X and port Y (usually 443). Since the SSL request does not contain any Host: field, the server has no way to decide which SSL virtual host to use. Usually, it will just use the first one it finds, which matches the port and IP address specified.

[Silvio]

Danke für den prompten Hinweis. Mein englisch ist nicht das beste, aber ich denken ich habe diese Henne <-> Ei Problematik verstanden. In der Zwischenzeit habe ich folgende IBM Technote gefunden :
1) http://www-01.ibm.com/support/docview.wss?rs=0&uid=swg21173919
2) http://www-01.ibm.com/support/docview.wss?uid=swg21104852

Demnach geht es gar nicht anders als zu jeder Internet Site die SSL benötigt auch eine eigene IP Adresse einzurichten. Das bringt mich zur nächsten Frage, was in der Praxis üblicher ist. Soll ich's meinem Provider sagen welche FQHN an welche IP Adresse geleitet werden muss, oder soll der FQHN von einer Firewall erkannt werden und diese sendet die Anfrage an die gewünschte IP Adresse. Letzteres wäre natürlich praktischer da weiterhin nur eine(1) öffentliche IP Adresse belegt werden muss.