SSL-Zertifikat

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Blackwolf, 5. Sep. 2008.

  1. Blackwolf

    Blackwolf New Member

    Salve ...

    Ich betreibe ISP-Config auf einem virtuellen Strato-Server mit mehreren "Spiel-Domains" ...

    Jetzt soll eine Produktiv-Domain dazukommen und die soll einen Webshop beinhalten. Das dürfte dann - logischerweise - nur via https sinnig sein.

    Das Problem ist: ...

    So wie ich das verstanden habe, ist das Zertifikat unique für den Server. Soll heissen ... alle Domains (die über ssl gebaut werden) würden auf das gleiche Zertifikat zugreifen, bzw. diese Domains aufrufende User würden immer dasselbe Zertifikat erhalten.

    Der Kunde jedoch möchte, das ein Aufruf seiner Domain auch ihn als Zertifikatseigener ausweist,... also ... jede Domain sollte auch ein eigenes Zertifikat erhalten.

    Ist das möglich und wenn ja ... wie?

    Greetz ...
    Blackwolf
     
  2. Till

    Till Administrator

    Nein, das ist falsch. Du kannst für jede Domain, die ihre eigene IP hat, ein SSL Zertifikat anlegen.
     
  3. Blackwolf

    Blackwolf New Member

    und genau das isses eben,...

    ein virtueller Server ... mehrere Domains ... aber nur eine (shared) IP.
     
  4. Till

    Till Administrator

    Das ist schlecht. Dieses Limit ist Bestandteil der SSL Implementierung des apache Servers und hat nichts mit ISPConfig zu tun.
     
  5. Blackwolf

    Blackwolf New Member

    dachte ich mir fast ...

    Danke für die Hilfe.
     
  6. JeGr

    JeGr Member

    Es geht ... fast. Man kann es umgehen, indem man bspw. einen Proxydomain anlegt. Bspw. ssl.providerdomain.de und darunter dann als Pfadelemente die Domains via mod_rewrite/mod_proxy nutzt. Dadurch kann man mit einem Zertifikat den Kunden einen SSL Proxy bieten:

    http://www.provider.de -> https://www.provider.de
    http://www.kunde1.de -> https://ssl.provider.de/kunde1.de/
    http://www.kunde2.de -> https://ssl.provider.de/kunde2.de/

    Ist nicht superschön, aber es ist auch nicht unüblich, dass bspw. Shops oder SSL Bereiche ausgelagert werden. Es wäre eben eine Möglichkeit wenn man auf 1 IP festgenagelt ist.

    Mehr dazu bspw.:
    http://serversupportforum.de/forum/faqs-anleitungen/2558-howto-ssl-proxy.html
    oder
    http://sweon.net/2008/01/hosting-multiple-ssl-vhosts-on-a-single-ipportcertificate-with-apache2
     
  7. MediumO

    MediumO New Member

    Es geht auch einfacher, bzw. schöner. Bei entsprechend professionellen Auftritten sehen SSL-Proxy Domains nicht sonderlich seriös aus.

    Apache kann mittlerweile mit Shared-IP, Named-based Vhosts u. SSL umgehen.

    evtl. interessant für dich:

    http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/

    http://gentoo-wiki.com/HOWTO_SSL_Enabled,_Name_Based_Virtual_Hosts_with_Apache

    Ob ISP-Config dort evtl. ein Problem hat Zwecks Template Layout usw. kann ich nicht sagen, habe es selber mit ISP-Config noch nicht eingesetzt.

    Alternative sind mittlerweile relativ günstige Multi-Domain Certs.
    Wenn es nicht direkt für Kunden sein soll, sondern mehrere eigene Projekte ist dies eine schöne Lösung.

    Dort lassen sich dann auch im nachhinein Domains ins Cert einfügen, dazu muss dann nur noch das Cert selber ausgetauscht werden und die Config greift für jede Domain auf das selbe Cert zu.

    Wenn du spezielle Fragen zu der Certs hast meld dich einfach mal per PN.

    PS: Confixx u. Plesk können nach meinem Kentnisstand z.B. mit Shared-IP Certs usw. umgehen damit umgehen, evtl. nettes Feature für ISP-Config.

    So on
    Olaf
     
  8. sumsebum

    sumsebum New Member

  9. MediumO

    MediumO New Member

    Wer sucht der findet :rolleyes:
    Dankeschön, da war ich wohl auch zu blind auf Hotwoforge zu suchen.
    Der Wald, Bäume usw. ...

    Da fällt mir noch ein, eine Einschränkung gibt es bei SSL-Enabled Name-Based VHosts:
    Nur relativ aktuelle Browser senden den SNI, falls der Besucher einen etwas älteren Browser verwendet wird der Apache wieder das erste Cert der IP verwenden und der Besucher evtl. eine Warnung erhalten. Deshalb sind manchmal Multi-Domain Certs die bessere wahl, vor allem wenn es rein um Projekte geht die man selbst verwaltet.
     
    Zuletzt bearbeitet: 11. Sep. 2008
  10. JeGr

    JeGr Member

    Was der Grund war, weshalb ich die Version mit einem Proxy-SSL-Host gepostet hatte. Wenngleich nicht so "schön" wie die echte Domain, ist es trotzdem noch gültig für alle Browser und mit "Standard-Mitteln". Und wenn auch inzwischen viele aktuelle Browser es unterstützen, gibt es trotzdem noch viele, die IE6 oder FF1.5 einsetzen. Von anderen Anwendungen die SSL nutzen und kein Browser sind mal abgesehen (die kommen ggf. auch noch dazu).

    Trotzdem stimme ich zu, dass das ggf. ein nettes Feature wäre :)
     
  11. sumsebum

    sumsebum New Member

    das Problem mit dem SSL-Proxy kommt aber meisten wenn du irgenwelche eCommerce Lösungen auf dem Server hast die mit SSL-Proxy nicht klar kommen.

    Ist bei mir bei ein paar Kunden mit XTC der Fall ....
     

Diese Seite empfehlen