Frage zu SNI

Twilo
Hallo,

kann man bei SNI auch auswählen welche IP verwendet werden soll oder wird immer die Haupt IP verwendet?

mfg
Twilo
tbc233
Ich würde jetzt (ungetestet) behaupten, dass der vhost Eintrag für eine Domain die ein Zertifikat via SNI zugewiesen bekommen hat, auf die IP der Domain abgebildet wird. Sprich, wenn die Domain eine IP anders als die Standard IP zugewiesen hat, dann auf die, ansonsten auf die Standard-IP.

Streng genommen ging es ja gar nicht anders, schließlich zeigen ja in aller Regel auch die DNS Einträge auf die der Domain zugewiesenen IP. Wär ja furchtbar, wenn diese nach Zuweisungs eines Zertifikats auf einmal eine andere wäre.
Daniel Bradler
Ja, es wird die der Domain zugewiesende IP-Adresse verwendet. Die IP-Adresse kann über Endkunden -> Domains -> IP-Adresse geändert werden.
Twilo
Hallo,

wir haben auf dem Server in dem Standard VirtualHost Eintrag für das htdocs Verzeichnis auf ein Verzeichnis htdocs_80 den DocumentRoot zeigen lassen und htdocs nur per HTTPs erreichbar gemacht; in dem VirtualHost habe ich das selbstsignierte Zertifikat mittels
code:
1:
2:
3:
  SSLEngine On
  SSLCertificateFile /usr/local/pd-admin2/etc/cert/webserver.crt
  SSLCertificateKeyFile /usr/local/pd-admin2/etc/cert/webserver.key
eingerichtet, stört das SNI wenn man weitere Domains nun per SNI auf der Standard IP einrichtet?

mfg
Twilo
tbc233
Meiner Erfahrung nach mit ähnlichen Setups ist das kein Problem. Es kommt hier (natürlich) nur zu Problemen wenn auf der selben IP noch ein Cert ohne SNI eingerichtet wird.
Daniel Bradler
SNI funktioniert auch auf der Standard-IP-Adresse.
Twilo
Hallo Herr Bradler,

funktioniert SNI auch auf der Standard IP, wenn im Standard VirtualHost für das htdocs Verzeichnis folgendes eingetragen ist?
code:
1:
2:
3:
  SSLEngine On
  SSLCertificateFile /usr/local/pd-admin2/etc/cert/webserver.crt
  SSLCertificateKeyFile /usr/local/pd-admin2/etc/cert/webserver.key
Oder gibt es eine Möglichkeit für das htdocs Verzeichnis automatisch ein Zertifikat von Let’s Encrypt anlegen zu lassen?

mfg
Twilo
Daniel Bradler
Ja, SNI sollte auch funktionieren (Sie müssten es bei der Installtion des Zertifikats lediglich auswählen).

Für den pd-admin Hostnamen können Sie auch ein Let's Encrypt Zertifikat einrichten ("/opt/pdadmin/bin/letsencrypt $(/opt/pdadmin/bin/hostname.pl)"), wenn es das ist, was Sie meinen. Die manuelle Konfiguration sollte anschliessend entfernt oder zumindest angepasst werden.