OVH Community, your new community space.

IPv6 und SSL


spoi
23.03.09, 19:42
schau mal, evtl. ist das ja was für dich (ungetestet)

http://blog.slash-me.net/archives/30...g-und-SSL.html
NetDave_DE
23.03.09, 12:33
Zitat Zitat von markusb
Gott sei Dank hab ich das auch gar nicht gefragt.

Wenn ich die Pakete Tunneln lasse über IPv4, bekommt der Server nicht die original angeforderte IPv6-Adresse mit, und leitet es über diese? Im Tunnel steckt ja normal das original Protokoll..
was genau willst du eigentlich?
Wenn du IPv6 Pakete in IPv4 tunnel lässt, dann muss der Client auch erstmal das Tunneln unterstützen, und das ist ja wohl eher selten der Fall...
Du könntest natürlich (sofern der Client so einen Tunnel unterstützt), die gekapselten IPv6 Pakete alle an einer IPv4 Adresse annehmen und dann eben weiter als IPv6 verarbeiten.
Der IPv6 Server bekommt natürlich die orginale IPv6 adresse mit. Der Endpunkt des Tunnels natürlich auch.

Nur löst das dein Problem nicht, weil du dem Clienten dann beibringen musst, IPv6 Paktete zu verschicken, die über IPv4 zu tunneln und dann auch noch nicht wegen dem Zertifikat zu meckern.
Jetzt mal ehrlich: Selbst wenn die Clienten dazu in der Lage wären, die Tunnel zu realisieren, so wäre es doch so, das hier noch ein Problem auftaucht: Wieso sollte der Client dann dem Zertifikat vertrauen, der merkt doch, das das alles an die selbe IPv4 Adresse geht.

Wenn der Tunnel nur irgendwo auf dem Weg sein soll, dann ist das sowieso egal, aber soweit kannst du ja auch sicher selbst denken.

----------
Ganz allgemein solltest du dir überlegen, ob es sinnvoll ist mich so anzupflaumen, ich habe dir freiwillig geholfen und werde das zukünfig nicht mehr tun.
könnte ich nicht auf jeder IPv6 Adresse (oder zumindest ein Paar davon ^^) auf Port 443 vom Apache belauschen lassen, um jeweils ein anderes Zertifikat zu nutzen?
[quote]
Zitat Zitat von markusb
Gott sei Dank hab ich das auch gar nicht gefragt.
markusb
23.03.09, 11:29
Zitat Zitat von NetDave_DE
ja, du kannst den Apache so einstellen, das er für jede IP-Adresse ein anderes Zertifikat nimmt - das hättest du aber auch leicht mit google rausfinden können. Da findest du auch jede Menge Hilfe dazu wie es geht.
Gott sei Dank hab ich das auch gar nicht gefragt.

Wenn ich die Pakete Tunneln lasse über IPv4, bekommt der Server nicht die original angeforderte IPv6-Adresse mit, und leitet es über diese? Im Tunnel steckt ja normal das original Protokoll..
NetDave_DE
23.03.09, 09:27
IPv6 Adressen sind natürlich auch nur über IPv6 erreichbar (zumindest nativ; wenn IPv6 von IPv4 erreichbar sein soll, dann muss auch eine Zuordnung einer IPv4 zu einer IPv6 Adresse da sein, die der Client dann sieht -> dein Problem ist wieder genauso da)

ja, du kannst den Apache so einstellen, das er für jede IP-Adresse ein anderes Zertifikat nimmt - das hättest du aber auch leicht mit google rausfinden können. Da findest du auch jede Menge Hilfe dazu wie es geht.

Es ist nunmal so, das man pro IP Adresse nur ein SSL Zertifikat haben kann, unabhängig davon ob die Adresse jetzt v4 oder v6 ist. Das wid sich auch nicht ändern. Wenn du also viele Zertifkate nutzen willst, dann brauchst du auch viele IP Adressen.
markusb
22.03.09, 21:32
Gibts hier denn niemand, der sich damit auskennt?
markusb
21.03.09, 02:46
Ich schätze mal viele hier kennen das Problem:
Eine IP aber viele Domains die gerne SSL hätten.

Jetzt hab ich dazu mal 2 interessante fragen, was IPv6 in diesem Zusammenhang betrifft:
- OVH vermacht mir ja ein riesen Subnetz mit IPv6 Adressen, könnte ich nicht auf jeder IPv6 Adresse (oder zumindest ein Paar davon ^^) auf Port 443 vom Apache belauschen lassen, um jeweils ein anderes Zertifikat zu nutzen?
Ich müsste dazu ja nur die AAAA Records bei bind anpassen und die IPv4 Records löschen.

- Ist meine Seite, wenn sie nur über IPv6 läuft nur noch für IPv6 User (also fast keinen) nutzbar?


Sonst müsste ich ja für jede (Sub-)Domain eine extra IPv4 Adresse holen, obwohl ich IPv6 im Überfluss hab.