Apache VirtualHost not loading correct certificate

JoeSlav

08.06.2023, 11:03

We are running into issues with this seemingly simple configuration on Apache 2.4. We can't seem to obtain the correct certificate while using the Virtual Host site2.net. We always get site1.net's certificate. Here's our apacectl -S:

VirtualHost configuration:
*:446                  is a NameVirtualHost
         default server site1.net (/opt/rh/httpd24/root/etc/httpd/sites-enable/site1.conf:3)
         port 446 namevhost site1.net (/opt/rh/httpd24/root/etc/httpd/sites-enable/site1.conf:3)
         port 446 namevhost site2.net (/opt/rh/httpd24/root/etc/httpd/sites-enable/site2.conf:3)
*:444                  other.net (/opt/rh/httpd24/root/etc/httpd/sites-enable/other.conf:2)

Here's the VH configurations:

$ cat /opt/rh/httpd24/root/etc/httpd/sites-enable/site1.conf
<VirtualHost *:446>
    ServerName site1.net
    DocumentRoot /www/site1
    <Directory /www/site1>
        AllowOverride All
        Require all granted
    </Directory>
    SSLEngine on
    SSLCertificateKeyFile /opt/rh/httpd24/root/etc/httpd/conf/certs/site1.key
    SSLCertificateFile /opt/rh/httpd24/root/etc/httpd/conf/certs/site1.pem
</VirtualHost>

$ cat /opt/rh/httpd24/root/etc/httpd/sites-enable/site2.conf
<VirtualHost *:446>
    ServerName site2.net
    DocumentRoot "/www/site1/xyz"
    <Directory "/www/site1/xyz">
         AllowOverride All
         Require all granted
         Options -Indexes
    </Directory>
    SSLCertificateKeyFile /opt/rh/httpd24/root/etc/httpd/conf/certs/site2.key
    SSLCertificateFile /opt/rh/httpd24/root/etc/httpd/conf/certs/site2.pem
</VirtualHost>

The conf file /opt/rh/httpd24/root/etc/httpd/conf.d/ssl.conf has not VirtualHost defined. If we swap the certs and have the first Virtual Host loading the second certificate we see it correctly (i.e. there is no issue with the certificate itself).

We are testing with openssl s_client -connect myip:446 -servername site2.net

Why are we getting this strange behavior? Thanks a lot!

0 + 0

certificat ssl

apache-2.4

apache2

Bob

08.06.2023, 11:33

Asta pare să sugereze că SNI nu funcționează/folosit. Aceasta poate fi o problemă în configurația Apache, instrumentul openssl cli și/sau ambele. Un alt test, de exemplu cu `curl âresolve site2.net:446:myip https://site2.net:446/` arată același comportament?

Răspunde

JoeSlav

08.06.2023, 11:36

Același comportament cu curl, mulțumesc!

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Apache VirtualHost not loading correct certificate

TH: Apache VirtualHost ไม่โหลดใบรับรองที่ถูกต้อง

RO: Apache VirtualHost not loading correct certificate

RU: Apache VirtualHost не загружает правильный сертификат

VI: Apache Virtualhost không tải đúng chứng chỉ

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.