[nginx] HTTP --> HTTPS Rewrite - Ich will SSL :)

Dieses Thema im Forum "Allgemein" wurde erstellt von FirstS0ul, 8. Juni 2015.

  1. FirstS0ul

    FirstS0ul New Member

    Moin zusammen,

    ich möchte meinen Server auf SSL umstellen. Das betrifft logischerweise nur die Webdienste.
    Sicherheit schadet nie. Besonders wenn man eine Cloud und WebMail Dienste hat :)

    Ich habe einen vServer mit zwei Domains.
    Ich würde gern beide Domains mit SSL Zertifikaten ausstatten.
    Wie das funktioniert konnte ich über das ISPConfig Handbuch herausfinden. Ein selbsterstelltes Zertifkat klappt schonmal.
    Jetzt würde ich gern jeden HTTP Request auf HTTPS umleiten, so das die Benutzer immer auf die verschlüsselte Umgebung kommen.

    Wie kann ich das lösen?

    PS: Ich würde für den anfang mir ein kostenloses Zertifikat bei startssl besorgen. Oder kennt ihr günstige (bessere) alternativen.
     
  2. robotto7831a

    robotto7831a Member

    In ISPConfig in den nginx Direktiven folgendes eintragen.

     
  3. FirstS0ul

    FirstS0ul New Member

    ok danke!
    Ich gehen davon aus, dass ich das auch bei jeder Subdomain eintragen muss?
    also z.B:
    Code:
    if ($scheme != "https") {
    rewrite ^ https://cloud.meineurl.tld$request_uri? permanent;
    }
     
  4. robotto7831a

    robotto7831a Member

    Ja.
     
    FirstS0ul gefällt das.
  5. FirstS0ul

    FirstS0ul New Member

    fein! Danke! Dann mache ich mich mal ans Werk. Ist ja eig. nur fleißarbeit :)
     
  6. FirstS0ul

    FirstS0ul New Member

    Info für alle:
    startssl ist zwar ganz nett, aber leider nur für eine Domain. Subdomains laufen wieder nicht damit. Schade.
     
  7. robotto7831a

    robotto7831a Member

    Klar was hast Du denn gedacht?

    Wildcard SSL Zertifikate kosten.

    Kannst ja mal https://buy.wosign.com/free/ probieren. Eine Domain habe ich schon damit getestet aber mehrere noch nicht.
     
  8. nowayback

    nowayback Well-Known Member

    doch mit class 2 validierung

    Das ist nicht korrekt. Du zahlst nur die Validierung für Class 2 (59,90$) und kannst danach soviele Wildcardzertifikate und Subdomainzertifikate beantragen wie du willst, solang die Domains dir gehören - und zwar alle gratis - für die Dauer von einem Jahr
     
  9. FirstS0ul

    FirstS0ul New Member

    Sogar für 2 Jahre. Das ist der große Vorteil und das Angebot werde ich wohl warnehmen.
    Du zahlt per Vaildation und das ist alle 2 Jahre :)
     
  10. nowayback

    nowayback Well-Known Member

    Wieder nicht korrekt. Es war schon Absicht von mir, wie ich das geschrieben hatte... aber ich erklär es dir gerne im Detail:
    Du machst die Class 2 Validierung und kannst dir damit Zertifikate erstellen, die 2 Jahre gültig sind. Du kannst dir aber die Zertifikate nur bis zu 350 Tage nach der Validierung erstellen. Solltest du danach ein weiteres Wildcard oder Subdomainzertifikat benötigen, musst du dich erneut validieren. Für einfache Domains kannst du aber trotzdem problemlos ein Class 1 Zertifikat erstellen - wie gehabt.
     
  11. FirstS0ul

    FirstS0ul New Member

    öhm okay. Wo steht das?
    das steht "per vaildation". Dann verstehe ich das die Class2 Validierung 2 Jahre hält...
     
  12. nowayback

    nowayback Well-Known Member

    musste ich jetzt selbst erstmal raussuchen... https://www.startssl.com/?app=2

     
  13. FirstS0ul

    FirstS0ul New Member

    Achso. Okay. Danke. Würde aber für mich reichen. Da in nächster Zeit keine neuen Domains dazukommen. Es bleibt bei den beidne Maindomains. Ich erstelle ja ein Wildcard Zertifikat so kann ich alle Subdomains abdecken, da ich ja nicht für jede Domain ein Zertifikat anlege.
     
  14. nowayback

    nowayback Well-Known Member

    das ist korrekt... dann kann ich dir nur raten nach 349 Tagen alle Zertifikate neu zu erstellen, so kannst du mit 1x Validierung Zertifikate mit insgesamt 2 Jahre + 349 Tage nutzen :p
     
  15. FirstS0ul

    FirstS0ul New Member

    Uhh netter Trick :p Knapp 3 Jahre für knapp 55€ ist ok ^^
     
  16. nowayback

    nowayback Well-Known Member

    ja... der Trick ist dann (nach 349 Tagen oder wann auch immer du die erneuern willst) bei den wildcarddomains dann erst eine subdomain anzugeben und danach *. sonst müsstest du das "alte" erst zurückziehen und das kostet rund 25$ pro Zertifikat.
    Diese Vorgehensweise stammt im Übrigen vom CA Master mit dem ich wegen ähnlichen Dingen in Kontakt stand.
     
  17. JeGr

    JeGr Member

    Um kurz noch hier anzusetzen: Man kann bei StartSSL somit mit einer Class2 Validation nicht nur ein Wildcard Zertifikat erstellen, sondern auch ein SAN/Wildcard Zertifikat. Da StartSSL auf CSRs keinen großen Wert legt, sondern das in der WebGUI anlegen lässt, was du im Zertifikat haben willst, ist es sogar möglich bspw. solch ein Zertifikat zu erstellen:

    *.domain.de, domain.de, *.sub.domain.de, *.domain2.de, domain2.de, *.dev.domain2.de, ...

    Gerade wenn man einen einzigen Server mit mannigfaltigen eigenen Domains hat (die ja heute recht billig sind), und hier bspw. für Dev (sub-)Domains gleich mal vorsorgen möchte, ist das sehr schick. Und gerade SAN Zertifikate, also Zerts mit mehreren unterschiedlichen Domains im Zertifikat sind sonst sehr teuer.

    Auch sehr praktisch nutzbar für bspw. das ISPConfig3 Feature "Website auto alias":

    ISPConfig Server #1 bspw. hört auf: isp01.domain.net
    ISPConfig Server #2 hört auf: isp02.domain.net
    MX wird definiert als mta01/02.domain.net
    DNS wird übernommen als dns01/02.domain.net
    Eigentliche Webseite: www.domain.de (Abtrennung von .net für Serverdienste und .de für das eigentliche "Business")
    Zusätzliche Webseite: www.domain2.de
    AutoAlias Feature von ISPC3 für Hosting Kunden: c[client_id]w[website_id].alias.domain.net

    Durch einbacken von:
    domain.net, *.domain.net, *.alias.domain.net, *.domain.de, domain.de, *.domain2.de, domain2.de
    hat man mit einer Ausgabe von 59$ ein Zertifikat, was alle Ansprüche abdeckt und man kann seine Dienstleistungen ordentlich aufziehen und separieren ohne auf SSL verzichten zu müssen. Pluspunkt: Die diversen Services von ISPConfig können dann auf Linux Ebene alle via Symlinks auf das gleiche Zertifikatspaket zeigen (Postfix, Dovecot, Courier, FTP, was immer ihr installiert habt) und wenn ihr das mal aktualisieren müsst, ist es gleich für alle Dienste wieder auf dem neuen Stand.

    Grüße
    -jens
     
  18. FirstS0ul

    FirstS0ul New Member

    Wow. Danke für den Tipp, dann lohnt sich das ja echt.

    Ich nutze ISPConfig für mich auch nur als einfaches Werkzeug. Ich habe keine Kunden etc. ich verwalte nur zwei Webseiten die darauf laufen :) Also brauche ich "so einen Aufwand" wie du beschrieben hast nicht :)
     
  19. JeGr

    JeGr Member

    > Also brauche ich "so einen Aufwand" wie du beschrieben hast nicht :)
    Na klar, dann ist das natürlich weniger Aufwand, allerdings kann man auch für seine eigene Infrastruktur bestimmte Dinge gleich trennen oder ordentlich separieren, damit man damit wengier Ärger hat. Und wer weiß ob das nicht später doch mal größer wird und wächst. Aber gerade bspw. der konfigurierbare auto-alias ist ein nettes Feature wenn man einen Webspace schon einmal vorbereiten möchte, ohne dass man bereits eine Domain dafür in Planung hat. Und wenn man dann bereits ein passendes Wildcard Zertifikat am Start hat, dass diese Domain mit abdeckt - umso besser ;)
     
  20. FirstS0ul

    FirstS0ul New Member

    Ich habe nun mein Zertifikat... Scheinbar klappt das leider nicht mit dem Code...
    Er will einfach nicht auf HTTPS umleiten.

    Andere Tipps?
     

Diese Seite empfehlen