# Probleme mit Webmin und SSL

## ConiKost

Hallo!

Ich habe mir hier Webmin installiert

LÃ¤uft auch super Ã¼ber SSL.

Jedoch habe ich ein Problem mit Zertifikaten ...

Wenn ich im lokalen Netzwerk Webmin aufrufe, dann wird das richtige Zertifikat fÃ¼r 192.168.0.254 aufgerufen ...

Wenn ich aber nun von auÃerhalb aufrufe, http://metabox.dyndns.org:10000 dann wird aber das falsche Zertifikat geladen. Es ist das wieder fÃ¼r 192.168.0.254 ... jedoch nicht das per Standardeingestellte fÃ¼r Metabox.DynDNS.org

Jemand ne Idee wie ich das lÃ¶schen kann?

Wenn ich manuell das fÃ¼r 192.168.0.254 zugewiesene entferne, dann geht das ganze mit metabox.dyndns.org, aber lokal im netzwerk habe ich dann kein gÃ¼ltiges mehr!

----------

## Pegasus87

Wenn du das lokale Zertifikat gesetzt hast und dann von außerhalb nicht über dyndns sondern über die IP zugreifst, gibt es dann auch diese Probleme?

----------

## ConiKost

Hi!

Ja ...

wenn ich von außen über https://123.123.123.123:10000 zugreife wird trotzdem das Zertifikat für 192.168.0.254 benutzt...

Warum?

----------

## schotter

und wennste dir 'n 2.tes profil zulegst?

```
firefox --help

Mozilla options

        -height <value>         Set height of startup window to <value>.

        -h or -help             Print this message.

        -width <value>          Set width of startup window to <value>.

        -v or -version          Print Firefox version.

        -P <profile>            Start with <profile>.

        -ProfileManager         Start with profile manager.
```

mfg,

t.s.

----------

## ConiKost

Wie meinst du das mit dem 2ten Profil ?

Ich nutze Opera und IE7 Beta 2

----------

## schotter

 *ConiKost wrote:*   

> Wie meinst du das mit dem 2ten Profil ?

 Ich hab jetzt grad nichts gefunden, ob Opera verschiedene Profile hand habt (oder nennt sich's dort "sessions"). Was ich mit Profilen meine wird hier http://www.firefox-browser.de/wiki/Profile ganz gut erklärt. Benutzer a für local und Benutzer b für's Internet. Oder nimm doch einfach verschiedene Browser, einen nur für local und einen nur für's Netz. (Was eigentlich das gleiche is, wie die Sach mit den Profilen)

mfg,

t.s.

----------

## Pegasus87

Vermutlich ist das mit den Profilen die einzige Möglichkeit. Ich kenne mich mit den SSL Zertifikaten nicht so aus, aber ich kann mir schon vorstellen, dass das bei Webmin so ausgelegt ist, dass immer nur ein PC das ganze steuern darf, sprich, es gibt nur ein Zertifikat für den PC, der zu erst kommt.... die IP wird dann entsprechend drauf ausgerichtet.

Mag sein, dass ich mich irre....  :Crying or Very sad: 

----------

## ConiKost

Hallo!

Aber wie bitte sollen hier Profile helfen?!

Ich habe gesagt.

Wenn ich in der Webmin Config die Zertifikate für 192.168.0.254 wegenehme wird wie es sollte das zertigikat für metabox.dyndns.org geladen, wenn ich diese url nutze.

Wenn ich nun aber in der webmin config für 192.168.0.254 eins zuweise, dann wird aber für metabox.dyndns.org das 192.168.0.254 zerttifikat genutzt.

----------

## Pegasus87

 *ConiKost wrote:*   

> Hallo!
> 
> Aber wie bitte sollen hier Profile helfen?!
> 
> Ich habe gesagt.
> ...

 

???

Ja klar, macht ja auch Sinn!

Warum fügst du nicht beide IPs in die Liste ein?

----------

## ConiKost

 *Pegasus87 wrote:*   

>  *ConiKost wrote:*   Hallo!
> 
> Aber wie bitte sollen hier Profile helfen?!
> 
> Ich habe gesagt.
> ...

 

Wieso macht das Sinn?

Das ganze ist momentan so:

Standardzertifikat für Metabox.DynDNS.org ist eingestellt ...

Zusätzlich für 192.*** das 192er ...

Wenn ich nun Webmin über https://192.168.0.254 aufrufe wird das 192.168.0.254 geladen.

Wenn ich nun Webmin über https://metabox.dyndns.org aufrufe wird aber trotzdem 192.168.0.254 zertifikat geladen?!

Warum?

----------

## Pegasus87

Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm....

----------

## ConiKost

 *Pegasus87 wrote:*   

> Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm....

 

Ja, aber warum geht das mit Apache dann? Apache erkennt korrekt 192 und Metabox.DynDNS.org ...

Webmin macht das irgendwie nicht.

----------

## Pegasus87

 *ConiKost wrote:*   

>  *Pegasus87 wrote:*   Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm.... 
> 
> Ja, aber warum geht das mit Apache dann? Apache erkennt korrekt 192 und Metabox.DynDNS.org ...
> 
> Webmin macht das irgendwie nicht.

 

Nu ist Webmin auch ein abgespeckter Apache, vielleicht ist gerade diese Funktion mit verloren gegangen. Oder ein Bug, mal bei der Webminseite geguckt?

----------

## ConiKost

 *Pegasus87 wrote:*   

>  *ConiKost wrote:*    *Pegasus87 wrote:*   Vielleicht, weil DynDNS auf die IP deines Rechners verweist und dann Webmin das als lokalen Aufruf erkennt???!!! Hmm.... 
> 
> Ja, aber warum geht das mit Apache dann? Apache erkennt korrekt 192 und Metabox.DynDNS.org ...
> 
> Webmin macht das irgendwie nicht. 
> ...

 

Auf der Webmin Seite finde ich nix zum Thema  :Sad: 

----------

## think4urs11

was passiert denn wenn du auf dem Client von dem aus du auf Webmin von intern zugreifen willst mal spaßeshalber in dessen /etc/hosts 192.168.0.254 metabox.dyndns.org einträgst?

Oder allgemeiner gesagt: Sorg mal dafür das deine internen Clients den Webminserver unter seinem via dyndns bekannten Namen erreichen können aber eben mit dessen interner IP-Adresse.

Auf die Tour müßte eigentlich beides funktionieren, sowohl Webmin von 'außen' (über externe IP), wie von 'innen' (deine LAN-IP) und in beiden Fällen mit dem Zertifikat das auf metabox.dyndns.org läuft.

Das Zertifikat 'hängt' ja sozusagen am DNS-Namen, der SSL-Handshake findet aber statt bevor der jeweilige Webserver überhaupt weiß welche URL angesprochen werden soll. Deswegen geht es ja auch mit Apache nicht mehrere unterschiedliche SSL-Hosts (https://eins.de, https://zwei.de) auf der gleichen IP auf dem gleichen Port zu betreiben. (https://eins.de:443/, https://zwei.de:444/ geht allerdings dann wieder)

Alternativ könntest du dir auch ein 'catch-all'-Zertifikat ausstellen (als CN *.server.de, würde dann für eins.server.de/zwei.server.de/... gelten) oder zumindest eines das auf mehrere Namen läuft (subjectAltName setzen, z.B. subjectAltName: DNS:www.www.eins.de,DNS:www.zwei.de,...) - beides ziemlich tricky, vor allem wenn es ein 'offizielles Zert.' einer anerkannten CA sein soll - obige Methode ist vergleichsweise simpler  :Wink: 

----------

## ConiKost

Hi!

Dein Tipp hat leider nicht geholfen  :Sad: 

Es wird weiterhin beim aufruf von metabox.dyndns.org das 192 Zertifikat geladen ...

----------

## schotter

Abend,

 *ConiKost wrote:*   

> Aber wie bitte sollen hier Profile helfen?!

 

ich versuchs nochmal anders. du erstellst dir 2 Benutzer, einen für's lan und einen für's wan. Der lan-Benutzer wird NUR für's lan verwendet, drum hat er dann auch nur DAS lan-Zertifikat. Und analog geht's mit'm wan-Benutzer.

Anstelle jetzt zwei Benutzer anzulegen, legst du einfach (je nachdem ob's dein Browser unterstützt) ein weiteres Profil an. In dem Link, den ich oben gepostet hab, steht was darin, dass sich ein anderes Profil anbietet, wenn man andere Erweiterungen testen will, ich nehm also mal an, dass die Profile von einander abgeschottet sind und keine Gemeinsamkeiten besitzen.

Ich hab dein Problem schon verstanden  :Smile: 

Versuch dich mal mit ein und dem selben Browser auf der Homepage xy mit verschiedenen Benutzernamen anzumelden. Da wirst du auch scheitern und um sowas zu umgehen, nehm ich entweder einen anderen Browser (z.B. Opera). (Wobei ich mir gerade garnicht sicher bin, ob man hierfür ein anderes Profil benutzen könnte. Bitte um Aufklärung  :Smile: )

mfg,

t.s.

----------

## ConiKost

 *schotter wrote:*   

> Abend,
> 
>  *ConiKost wrote:*   Aber wie bitte sollen hier Profile helfen?! 
> 
> ich versuchs nochmal anders. du erstellst dir 2 Benutzer, einen für's lan und einen für's wan. Der lan-Benutzer wird NUR für's lan verwendet, drum hat er dann auch nur DAS lan-Zertifikat. Und analog geht's mit'm wan-Benutzer.
> ...

 

Hi!

Sry, ich bin irgendwie zu dumm. Wie soll das Profil helfen? 

Schau, es ist doch egal, ob ich von außern metabox.dyndns.org aufrufe ?! Es wird dort ja leider 192.168.0.254 Zertifikat geladen?

----------

## think4urs11

 *ConiKost wrote:*   

> Hi!
> 
> Dein Tipp hat leider nicht geholfen 
> 
> Es wird weiterhin beim aufruf von metabox.dyndns.org das 192 Zertifikat geladen ...

 

Hast du Webmin auch so konfiguriert das es nur noch das Zertifikat für metabox.dyndns.org hat/findet?

Ich könnte mir vorstellen das sonst das erstbeste passende genommen wird. Und wenn erst die IP und dann der DNS-Eintrag gecheckt wird ob dafür ein Zertifikat vorhanden ist würde das das erklären.

----------

## ConiKost

Hi!

Das ganze sieht so aus:

http://one-space.de/files/webmin.jpg

----------

## schotter

 *ConiKost wrote:*   

> Wie soll das Profil helfen? 
> 
> Schau, es ist doch egal, ob ich von außern metabox.dyndns.org aufrufe ?! Es wird dort ja leider 192.168.0.254 Zertifikat geladen?

 Ja schon, aber wenn in dem einen Profil kein Zertifikat vom lokalen Zugriff vorhanden ist, dann muss er doch das von metabox.dyndns.org nehmen, oder?

Du hast doch selber geschrieben, wenn du des Zertifikat rauslöscht, dann fragt er nach und holt sich's.

----------

## think4urs11

 *ConiKost wrote:*   

> Das ganze sieht so aus:
> 
> http://one-space.de/files/webmin.jpg

 

 *Think4UrS11 wrote:*   

> Hast du Webmin auch so konfiguriert das es nur noch das Zertifikat für metabox.dyndns.org hat/findet?

 

Schmeiß doch mal die 127.x/192.x Zertifikate raus und schau ob es dann geht (wie gesagt mit dem hosts-Trick von oben)

----------

## ConiKost

 *Think4UrS11 wrote:*   

>  *ConiKost wrote:*   Das ganze sieht so aus:
> 
> http://one-space.de/files/webmin.jpg 
> 
>  *Think4UrS11 wrote:*   Hast du Webmin auch so konfiguriert das es nur noch das Zertifikat für metabox.dyndns.org hat/findet? 
> ...

 

Hi!

Ja, wenn ich alle 127* und 192* wird immer Metabox.DynDNS.org benutzt (auch ohne den /etc/hosts Trick!)

 :Sad: 

----------

## think4urs11

 :Shocked:  und wo ist dann dein Problem?

----------

## ConiKost

Ich will, wenn ich in meinem lokalem Netzwerk 192.168.0.254:10000 aufrufe, soll das 192.168.0.254 Zertefikat geladen werden. Das ist auch ok.

Aber, wenn ich außerhalb meines netzweks metabox.dyndns.org:10000 aufrufe, dann wird nicht das metabox.dyndns.org zertifikat geladen, sondern das 192.168.0.254.

Wozu ist den sonst die zusätzliche einteilung der zertifikate?

----------

