This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple SSL Certificates on same port?

Hi,

is it possible to use multiple certificates on one port?
We tested multiple hosts without ssl, deploying the virtual Servers
foo.mydomain.com
and
bar.mydomain.com
with two different virtual servers to each one real web server (foo.mydom.intern and bar.mydom.intern).

Now we wanted to switch to ssl, so we created a separate for each URL.

With the first server everything is fine, the Domain name is read from the certificate. But as soon as I switch the second virtual server to SSL, I get the error message:
"Cannot use SSL certificate 'bar.domain.com' for the virtual web server 'Bar' on TCP port a.b.c.d:443 because the virtual web server 'OWA' listening on the same TCP port uses a different certificate 'foo.domain.com'."

So my question: Shouldn't it be possible to use two different certificates on the same TCP Port, and present the client the certificate depending on the URL requested?
When I chose a different Port (444) for the second virtual Server everithing is OK, but that's not quite my intention...

Thank You!


This thread was automatically locked due to age.
Parents
  • Mhock, I don't know the answer to your question, but it seems to me that this should be supported.  Multiple SSL certs for a single IP should be supprted, regardless of whether they're for the same domain.  Can you open a ticket with Astaro so we all can learn why this should be easy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Mhock, I don't know the answer to your question, but it seems to me that this should be supported.  Multiple SSL certs for a single IP should be supprted, regardless of whether they're for the same domain.  Can you open a ticket with Astaro so we all can learn why this should be easy?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Mhock, I don't know the answer to your question, but it seems to me that this should be supported.  Multiple SSL certs for a single IP should be supprted, regardless of whether they're for the same domain.  Can you open a ticket with Astaro so we all can learn why this should be easy?

    Cheers - Bob


    Just to make sure we are talking about the same thing:

    Multiple CERTs on the same IP and port are not supported, multipe DNS names are(using Subject Alternative Names in the cert). This is a new feature in 8.2.

    Using multiple certs for the same IP/port combination is technically impossible, since the client only sends the hostname it wants to connect to after the SSL connection is established. 
    There is a (relatively) new standard called 'Server Name Indication' (SNI) which fixes that. See Server Name Indication - Wikipedia, the free encyclopedia .
    While SNI is AFAIK supported by all of the major browsers, I haven't yet seen it used 'in the wild'.
  • Thank you, that was what I was wondering about: One cert with multiple SANs, and you can choose one of them per IP/port. Good to know this works...