WAF: Host Header durchreichen

Benötigst Du denn den Virtual Host an dieser Stelle? Ich sehe hier SNI, also dass Du virtuelle Hosts über SSL ansprechen willst. Das tut doch gar keine Not. Ich würde hier mal das entsprechende Setup und insbesondere Deine Hostnamen, die Du definiert hast und über die Du den Service ansprichst, überprüfen.

Generell ist SNI auch böse[tm] und die Astaro unterstützt SNI nach vorn weg eh nicht, also mMn überflüssig. Man kann es aber wohl nicht explizit ausschalten, nur implizit über den Verzicht auf NameVirtualHosts:
Using Multiple SSL Certificates in Apache with One IP Address

Generell ist SNI auch böse[tm] und die Astaro unterstützt SNI nach vorn weg eh nicht

Das stimmt seit 9.100 nicht mehr. Wurde zwar nicht offiziell bestätigt, funktioniert bei mir aber wunderbar, s. http://www.astaro.org/gateway-products/web-server-security/47727-sni-support-9-1-a.html
Warum soll SNI böse sein? Unterstützen doch alle aktuellen Browser problemlos...

SSLStrictSNIVHostCheck off

Das schaltet nur den StrictSNI-Check ab, nicht SNI an sich.

Wenn du SNI nutzt, müssen der ServerName, den du in der UTM und im Apache angegeben hast, übereinstimmen. Außerdem muss natürlich das Zertifikat auf diesen Namen ausgestellt sein.

 ServerName www.yoursite.com
 DocumentRoot /var/www/site
 SSLEngine on
 SSLCertificateFile /path/to/www_yoursite_com.crt
 SSLCertificateKeyFile /path/to/www_yoursite_com.key
 SSLCertificateChainFile /path/to/DigiCertCA.crt

Hier muss der virt. Webserver auf der UTM auch auf 'www.yoursite.com' lauten und das Zertifikat muss für 'www.yoursite.com' gültig sein.

edit: Als Background Info: Ein Zertifikat, das für 'test.yourdomain.com' und 'yourdomain.com' ausgestellt ist (klassisches Class1-Zertifikat, wie man es z.B. bei Startcom kostenlos bekommt), ist nicht gültig für 'www.yourdomain.com'!

Generell ist SNI auch böse[tm] und die Astaro unterstützt SNI nach vorn weg eh nicht

Das stimmt seit 9.100 nicht mehr. Wurde zwar nicht offiziell bestätigt, funktioniert bei mir aber wunderbar, s. http://www.astaro.org/gateway-products/web-server-security/47727-sni-support-9-1-a.html
Warum soll SNI böse sein? Unterstützen doch alle aktuellen Browser problemlos...

SSLStrictSNIVHostCheck off

Das schaltet nur den StrictSNI-Check ab, nicht SNI an sich.

Wenn du SNI nutzt, müssen der ServerName, den du in der UTM und im Apache angegeben hast, übereinstimmen. Außerdem muss natürlich das Zertifikat auf diesen Namen ausgestellt sein.

 ServerName www.yoursite.com
 DocumentRoot /var/www/site
 SSLEngine on
 SSLCertificateFile /path/to/www_yoursite_com.crt
 SSLCertificateKeyFile /path/to/www_yoursite_com.key
 SSLCertificateChainFile /path/to/DigiCertCA.crt

Hier muss der virt. Webserver auf der UTM auch auf 'www.yoursite.com' lauten und das Zertifikat muss für 'www.yoursite.com' gültig sein.

edit: Als Background Info: Ein Zertifikat, das für 'test.yourdomain.com' und 'yourdomain.com' ausgestellt ist (klassisches Class1-Zertifikat, wie man es z.B. bei Startcom kostenlos bekommt), ist nicht gültig für 'www.yourdomain.com'!