Multiple SSL-VHosts mit Apache2 und dem GNUTLS-Modul

Mehrere SSL-VHosts mit einem Apache2 zu betreiben bereitet mit dem normalen SSL-Modul zum Teil Probleme. So ist es nicht möglich mehrere SSL-VHosts mit unterschiedlichen Zertifikaten auf einer IP zu hosten. In diesem Fall wird Apache für jeden VHost das Zertifikat des ersten gefundenen SSL-VHosts nehmen. Somit wäre für jeden VHost mit separatem SSL-Zertifikat eine eigene IP nötig an dem dieser gebunden wird. Dies ist aber in einem ISP-Setup in dem für verschiedene Kunden Webspace angeboten wird nicht sinnvoll. Aus diesem Grund sollte in diesem Fall das Modul GNUTLS anstatt dem Standard SSL-Modul verwendet werden.

Zuerst wird es installiert

apt-get install libapache2-mod-gnutls

und aktiviert.

a2enmod gnutls

Das standard SSL-Modul sollte mit

a2dismod ssl

dekativiert werden.

Dazu werden zuerst die Zeile in der Datei ports.conf eingetragen bzw. angepasst.

<IfModule mod_gnutls.c>
    NameVirtualHost *:443
    Listen 443
</IfModule>

Danach wird die Datei /etc/apache/mods-avaiable/gnutls.conf bearbeitet.

<IfModule mod_gnutls.c>
  GnuTLSCache dbm /var/cache/apache2/gnutls_cache
 
  AddType application/x-x509-ca-cert .crt
  AddType application/x-pkcs7-crl    .crl
 
  GnuTLSCacheTimeout 300
</IfModule>

Die VHosts können dann wie folgt konfiguriert werden.

<VirtualHost *:443>
    .....
 
    GnuTLSEnable on
    GnuTLSCertificateFile /etc/sslcertificate/certificate.de.apache.crt
    GnuTLSKeyFile /etc/sslcertificate/certificate.de.key
    GnuTLSPriorities SECURE:!MD5
 
    .....
</VirtualHost>

Da GNUTLS keine Zertifikate mit Passwörtern unterstützt müssen diese gegebenenfalls entfernt werden. Dieses ist auf der Seite zu SSL beschrieben.