Mehrere named vhosts mit SSL auf einem Apache

Apache 2.2 nahm bis vor kurzem nur ein SSL Zertifikat an. Wenn man ihm mehrere für verschiedene vhosts in die Konfiguration schrieb erhielt man teilweise unverhersehbare Ergebnisse. Neuere Apache Version (ab 2.2.13, denke ich) unterstützen SNI, mit dem das inzwischen möglich sein sollte.

Diese und andere, auch mit älteren Apache Versionen mögliche, Lösungen werden im CAcert Wiki ausgiebig besprochen und deren Hintergründe erklärt.

Für die, meiner Meinung nach sinnvollste, Lösung, stellen die netten Leute bei CAcert sogar ein Script zur Verfügung, das sämtliche Schritte zum Erstellen eines CSR für ein Zertifikat mit einem CN und mehreren subjectAltNames aufgrund einfacher Fragen durchführt. Noch einfacher kann man sich kein SSL Zertifikat erstellen / signieren lassen.

1. Script ausführen, dabei Hostname und alle Namen der vhosts angeben, die enthalten sein sollen
2. Das ins eigene Home abgelegte .csr File zu CAcert (oder jedem anderen, gewünschten SSL CA Dienst) hochladen und danach aufbewahren, falls neue Zertifikate erstellt werden sollen. (z.B. nach Ablauf)
3. Das von der CA zurückerhaltene Zertifikat und das zuvor durch das Script erstellte, passwortlose, Keyfile an einen sicheren Ort verschieben und in der SSL Konfig des Apache angeben. Am einfachsten die Beispieleinträge in ssl.conf (aus mod_ssl RPM Paketen, auf RHEL / CentOS) durch den Pfad zu diesen Dateien ersetzen.

Natürlich sollte es auch möglich sein, ein SSL CSR für einen Host ohne named vhosts anzulegen. Dabei einfach keinen subjectAltName angeben.

Ich hoffe, diese Hinweisen helfen beim Einfachen erstellen solcher Zertifikate. Eine ausführliche Anleitung zum Erstellen und Einsetzen von SSL Zertifikaten bei Apache ist zwar schon lange geplant, wird aber sicher noch einige Zeit dauern.