Re: Erzeugung eines Zertifikats mit openssl: SubjectAltName erscheint nicht

[Andre Tann <atann@alphasrv.net>]

Jochen Spieker, Donnerstag, 23. Februar 2012: 

> Das Stichwort dazu ist SNI:
> 
> http://en.wikipedia.org/wiki/Server_Name_Indication

Das ist was anderes, als was ich gemacht hab. SNI läuft darauf hinaus,
daß der Browser doch schon vor Verbindungsaufbau den gewünschten
Domainnamen mitteilt, sodaß der Server weiß, welches Zertifikat er
präsentieren soll.

Mit SubjectAltName dagegen kann man einem Zertifikat mehrere Namen
verpassen, sodaß der Webserver immer das gleiche Zertifikat präsentiert,
und es paßt immer. So braucht der Server nicht schon beim Aushandeln der
Verbindung wissen, welche Domäne der Client haben will.

Kurz:
SNI = 100 Zertifikate für 100 vhosts auf einer IP
SAN = 1 zertifikat für 100 vhosts auf einer IP

Evtl. kann man es auch über mod_gnutls lösen, aber das habe ich noch
nicht probiert.

-- 
Andre Tann