SSL erstellen

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von bobbybackblech, 5. Okt. 2014.

  1. Heyho,

    ich habe mir gerade einmal die ISPC Manual geholt.
    Dort steht drin, dass man pro SSL eine IP Adresse benötigt.
    Ist das immer noch so ?

    Sprich ich muss eine eigene / serperate IP Adresse für jedes SSL Zertifikat haben ?
     
  2. nowayback

    nowayback Well-Known Member

    google mal sni und schau dir vor- und nachteile an :)
     
  3. Till

    Till Administrator

    Klassisches SSL benötigt eine eigene IP. Das ist nicht ISPConfig spezifisch sondern betrifft jegliche Form von Webserver setup. Wenn Du sicherstellen kannst dass keiner Deiner user enen alten Webbrowser verwendet, dann kannst Du auch SNI nutzen, also SSL mit geteilter IP Adresse. Nur wenn jemand einen alten Browser hat, insbesondere einen alten IE, dann erhält er bei SNI unter Umständen eine falsche Webseite ausgeliefert. SNI ist also für einieg projekte OK, für professionelle Shops die würde ich das Risiko nicht eingehen,
     
  4. Okay dann muss ich hier wohl oder übel noch zwei IP Adressen kaufen :)
    Ich hatte jetzt testweise einmal über ISPC ein SSL angelegt und erstellt.
    Allerdings wenn ich in meinem Shopware Shop hier das SSL aktiviere bekomme ich ein "Diese Webseite ist nicht verfügbar".
    Muss ich dann hier noch entsprechende Rewrite Rules anlegen ?
    Zumal Shopware ja hier das SSL nur für den Checkout / Kasse / Formulare verwendet.

    PS: Beeinflusst das eigentlich die Antwortzeit des Servers, wenn man hier bspw. 500 Webseiten auf eine IP laufen lässt ? Wäre es hier von der Antwortzeit her besser praktisch pro Webseite eine IP zu haben und hier auch entsprechend nur einen DNS A Record ? ( ohne Subdomains / Wildcard ). Oder hat das nichts mit der Response Time zu tun ?
     
    Zuletzt bearbeitet: 5. Okt. 2014
  5. nowayback

    nowayback Well-Known Member

    Eine hohe Anzahl an Webseiten pro IP bringt keine messbaren Performanceeinbußen. Dein Problem wird früher oder später eher das wenn mal ein E-Mail Konto geknackt und Spam darüber verschickt wird, es alle Kunden mit der IP betrifft, weil die IP in den RBL's landet.
     
  6. Okay und wenn ich bspw. 100 DNS Records in einer Domain habe, bringt das Performanceeinbußen ? :)
     
  7. nowayback

    nowayback Well-Known Member

    nur 100? ne auf keinen fall, es sei denn der dns is nen taschenrechner
     
    gOOvER gefällt das.
  8. Okay ich dachte nur das könnte sein :)
    Denn der Server hat komischerweise oft bei diversen Tools eine hohe erste Antwortzeit :(
    Und ich weiss nicht, was man hier noch verbessern könnte, damit man hier eine entsprechend niedrige Antwortzeit bekommt.
     
  9. nowayback

    nowayback Well-Known Member

    das kann viele ursachen haben... angefangen beim routing über cpu, ram und hdd/ssd, webserver, db server, die seite selbst - wenn z.b. viele bilder drauf liegen die geladen werden oder etliche css oder fonts, uvm.
     
  10. Okay .. Was könnte man denn bspw. am Routing verberssern ?
    An der Hardware dürfte es nicht liegen, der Server hat momentan eine sehr niedrige Auslastung und läuft mit einer SSD. ( Hetzner )

    Ich hatte jetzt testweise einmal über ISPC ein SSL angelegt und erstellt.
    Allerdings wenn ich in meinem Shopware Shop hier das SSL aktiviere bekomme ich ein "Diese Webseite ist nicht verfügbar".
    Muss ich dann hier noch entsprechende Rewrite Rules anlegen ?
     
  11. nowayback

    nowayback Well-Known Member

    du gar nix

    das kann schon sein
     
  12. Till

    Till Administrator

    Geht es bei der Seite mit der lahmen antwortzeit um shopware? Shopware ist ein "monster" von einer software, das braucht etwas um warm zu laufen also es müssen sich die caches füllen. wenn da wenig traffic drauf ist, leeren die sich wieder weil Inhalte verfallen. Ein anderer Flaschenhals ist oft MySQL, da kann man einiges optimieren, gerade bei InnoDB und MySQL 5.5 / 5.6.
     
  13. Es geht um Shopware genau.
    Ja Shopware ist hier schon relativ mächtig.

    Ich habe derzeit hier allerdings ein Problem mit einem SSL. Ich habe dieses über ISPC generiert.
    Allerdings ist die URL nicht unter https:// erreichbar.
    Muss ich hier zusätzlich auch noch entsprechend etwas in die NGINX Direktiven eingeben, sodass die Seite unter https:// erreichbar ist ?
     
  14. nowayback

    nowayback Well-Known Member

    Wahnsinn... ich hab das Ding gerade mal getestet... das is ja extrem aufgeblasen... 15-30 css sind da keine Kunst. Dazu etliche Javascript Dateien. Dann natürlich die ganzen Bilder, kein Wunder dass das Ding so lahm ist. Der eingebaute HTTP Cache ist auch eher ein Witz. Ich würde hier auf jeden Fall zu einem eigenständigen System (z.B. shop.domain.de) ohne ISPConfig aber mit Nginx + ngx_pagespeed + Varnish raten. Wenn du virtualisierst wäre da ein eigener Container angebracht. Alles andere ist nichts halbes und nichts ganzes.
    Ich weiß, bei vielen Dingen bringt varnish nur 15-20% Geschwindigkeit, aber Varnish cacht fertig gerenderte Seiten. Bei einem System wie Shopware, sollte das jedoch deutlich mehr bringen.
     
  15. Ja ich denke ich teste das ganze auch einmal mit Varnishh, wenn ich das hinbekomme.
    Shopware rückt da leider nicht mit Konfigurationen raus, da Shopware selbst Varnish erst ab der Enterprise für 15.000 EUR "verkauft" bzw sie es so vermarkten, dass man denkt das Varnish nur mit der Shopware Enterprise klappt ..

    Bzgl. des Codes: Da hast du recht, allerdings handelt es sich hier um das mitgelieferte Template. Wir entwickeln hier eigene Templates, welche von den CSS / JS Dateien nicht sehr aufgebläht sind. Aber das mitgelieferte Template hat schon einige Dateien .. ja :)
    Und das Backend ist hier auch sehr happig ..

    Bzgl. des SSL: Man sollte dieses natürlich auch aktivieren in der Checkbox ich doof :D :D
     
  16. Was mir noch einfällt bzgl. des SSL: Ich habe bereits eines gekauft vor 6 Monaten dieses kann ich ja noch weiter verwenden.
    Müsste ich dann hier im SSL Tab nur cd CSR und Bundle eintragen ?
    Oder muss ich erst ein Zertifikat erstellen, damit ein Key da ist, dann warten und danach entsprechend CSR und Bundle ändern ?
     
  17. Till

    Till Administrator

    Du kanst auch ein bestehendes ssl cert nutzen, musst dann aber key, cert und bundle eintragen. csr ist egal, der wird nur zum beantragen eines ssl certs benötigt.
     
  18. Ich habe hier nur die Datei cert.crt und cert.cabundle

    Fehlt dann hier der Key ? Muss ich mir dann noch hier den entsprechenden Key vom alten Hoster holen ?
    Oder wird der Key durch ISPC generiert ?
     
  19. Till

    Till Administrator

    Der key wird immer zusammen mit dem csr generiert, er gehört also zum Zertifkat dazu und ohne key ist es wertlos. Du musst den Key der damals bei Deinem anderen hoster erstellt wurde einfügen, sonst kann das Zertifikat nicht verwendet werden.
     
  20. Okay.
    Und bei "SSL-Request" kommt was hinein ?

    SSL-Zertifikat -> Privater Schlüssel
    SSL-Request ->CSR
    SSL-Zertifikat -> cert.crt Inhalt
    SSL-Bundle -> cert.cabundle

    ist das so korrekt ?

    Muss ich bei einem vorhandenen Zertifikat noch etwas bestimmtes bei Firma, Bundesland etc. eintragen oder kann ich hier auch einfach "lorem ipsum" hineinschreiben ?
     

Diese Seite empfehlen