Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 12669 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple SSL Certificates on same port?

mhock
Hi,

is it possible to use multiple certificates on one port?
We tested multiple hosts without ssl, deploying the virtual Servers
foo.mydomain.com
and
bar.mydomain.com
with two different virtual servers to each one real web server (foo.mydom.intern and bar.mydom.intern).

Now we wanted to switch to ssl, so we created a separate for each URL.

With the first server everything is fine, the Domain name is read from the certificate. But as soon as I switch the second virtual server to SSL, I get the error message:
"Cannot use SSL certificate 'bar.domain.com' for the virtual web server 'Bar' on TCP port a.b.c.d:443 because the virtual web server 'OWA' listening on the same TCP port uses a different certificate 'foo.domain.com'."

So my question: Shouldn't it be possible to use two different certificates on the same TCP Port, and present the client the certificate depending on the URL requested?
When I chose a different Port (444) for the second virtual Server everithing is OK, but that's not quite my intention...

Thank You!


This thread was automatically locked due to age.
  • 0
    Hi,
    It's possible, there is a (mostly supported) standard for this.
    Please post as a feature request at Astaro Gateway Feature Requests

    Barry
  • 0 in reply to BarryG
    I found a workaround by myself:
    A wildcard certificate (*.domain.com) works. when you assign a certificate with *.domain.com in its DN, it is possible to enter a list of domain names just as it is in Non-SSL-VirtualServers. That way, you can point different names to one RealServer.
    Furthermore, you can use this certificate in more than one VirtualServer on the same Socket and by that point to different backend servers.
    What I could not yet test is using Alternate Names: As wildcard certificates can be very expensive, it might be better to use Alternate Names. So my questions concerning this is:
    - What are the differences in this guide https://support.astaro.com/support/index.php/User_Contributed:How_to_Create_a_Certificate_for_Web_Application_Security when I want to include alternate names in the certificate?

    - And most important: How will WAF behave with these Alternate Names?

    Anyone ever tried it?
  • 0
    We are in the process or trying to get an alternative name certificate from Go Daddy (UCC) certificate working right now. This is the first time i've dealt with certificates so I'm a little lost.
  • 0
    I could be wrong, but I'm not certain if you can get a cert from GoDaddy to work, because it is chained (you need to import an intermediate certificate as well for it to work, as GoDaddy is not a 1st tier CA...this is why they are cheaper).
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    I think the chaining should not be a problem as you can just inspect the chain and then import the first CAcert manually.
    I hope they solved the alternate name thing by some DropDown-Menu, where you can choose which one of the certs name to use.
    Anyway, please keep us up to date with this...
  • 0
    Mhock, I don't know the answer to your question, but it seems to me that this should be supported.  Multiple SSL certs for a single IP should be supprted, regardless of whether they're for the same domain.  Can you open a ticket with Astaro so we all can learn why this should be easy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Mhock, I don't know the answer to your question, but it seems to me that this should be supported.  Multiple SSL certs for a single IP should be supprted, regardless of whether they're for the same domain.  Can you open a ticket with Astaro so we all can learn why this should be easy?

    Cheers - Bob


    Just to make sure we are talking about the same thing:

    Multiple CERTs on the same IP and port are not supported, multipe DNS names are(using Subject Alternative Names in the cert). This is a new feature in 8.2.

    Using multiple certs for the same IP/port combination is technically impossible, since the client only sends the hostname it wants to connect to after the SSL connection is established. 
    There is a (relatively) new standard called 'Server Name Indication' (SNI) which fixes that. See Server Name Indication - Wikipedia, the free encyclopedia .
    While SNI is AFAIK supported by all of the major browsers, I haven't yet seen it used 'in the wild'.
  • 0 in reply to ulmi
    Thank you, that was what I was wondering about: One cert with multiple SANs, and you can choose one of them per IP/port. Good to know this works...
  • 0 in reply to Scott_Klassen
    I could be wrong, but I'm not certain if you can get a cert from GoDaddy to work, because it is chained (you need to import an intermediate certificate as well for it to work, as GoDaddy is not a 1st tier CA...this is why they are cheaper).


    Godaddy Certs work fine... I always import the intermediate CA into the ASG, though, as a CA authority in the Certificates tab.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Godaddy Certs work fine... I always import the intermediate CA into the ASG, though, as a CA authority in the Certificates tab.


    What we ended up doing was getting a single domain cert from go daddy, then convert it on the Astaro as described here. We then took that .p12 file and imported into the Cetificate Authority and then imported it into the certificates and it seemed to work fine doing it that way.

    go daddy sends a gd_bundle.crt file but we didn't end up using it? Not sure what you end up doing with it BrucekConvergent?

    It looks like the problem for us was the privkey.pem file, we would still like to know if a UCC certificate from Go Daddy would work though?
Unfiltered HTML