Subdomains (vHost) SSL

blu3bird

New Member
Morgen.

Undzwar verstehe ich den Sinn gerade nicht.
Ich besitze ein Wildcard-Zertifikat für meine Domain.
Jetzt wollte ich eine Subdomain anlegen im ISPConfig (funktioniert soweit auch) doch ich werde einfach nicht per https:// in den richtigen Docroot geleitet sondern werde einfach auf meine Starseite geschmissen.
Ich müsste wenn ich auf der Subdomain (vHost) SSL nutzen will, ein neues Zertifikat anlegen.
Dort kann ich aber leider nur *.subdomain.domain.tld auswählen, aber das Zertifikat ist auf *.domain.tld ausgestellt.
Warum kann ich hier nicht einfach der Zertifikat auswählen, was ich für meine Hauptdomain schon angelegt habe?

Wenn ich die Domain jetzt über das normale Subdomain Menu gehe (ohne vHost) funktioniert es soweit nur bekomme ich von ngnix ein 500 Internal Server Error geworfen.
Nur hier kann ich leider auch nur eine Weiterleitung einstellen (was für mich nicht der Sinn einer Subdomain ist)

Log vom nginx

Code:
2014/10/27 06:01:04 [warn] 18168#0: conflicting server name "subdomain.domain.tld" on xx.xx.xx.xx:80, ignored
2014/10/27 06:01:04 [warn] 18168#0: conflicting server name "subdomain.domain.tld" on [2001:xxxxxx]:80, ignored
2014/10/27 06:01:07 [error] 18163#0: *1 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: 178.203.211.54, server: _, request: "GET /monitor/datalog_list.php HTTP/1.1", upstream: "fastcgi://unix:/var/lib/php5-fpm/ispconfig.sock:", host: "domain.tld:8080", referrer: "https://domain.tld:8080/index.php"



Ist das ganze ein Bug oder so gewollt?
Dann würde ich mich freuen, wenn man mir das ganze einmal richtig erklärt. :D
 

nowayback

Well-Known Member
Hi,

ich nutze auch mehrere Wildcard SSL Zertifikate. Du gehst eigentlich ganz normal vor. Du erstellst die Webseite, oder Subdomain und kopierst die entsprechenden Einträge (CSR/Key/Zertifikat) in die vorgesehenen Felder im SSL Tab in ISPConfig und wählst unten Zertifikat speichern aus. Dann klickst du auf Speichern und nach ner Minute funktioniert es. Du kannst dann ein https vorne an deine domains stellen und wenn du dir dann das Zertifikat anzeigen lässt, siehst du das es problemlos funktioniert.
 

nowayback

Well-Known Member

blu3bird

New Member
Erstmal danke für eure Antworten.
Es geht mir nicht darum wie ich die Zertifikate einzubinden habe, sondern um die Logik die dahinter steckt.
Mir persönlich gefällt ISPConfig sehr gut (bis auf das Design) wegen der ganzen Funktionen die es bietet.

Nur was nutzt mir das, wenn ich bei jeder Subdomain (vHost) jedesmal das Zertifikat für die Hauptdomain einbinden muss.
Daher hab ich doch ein Wildcard-Zertifikat um das ganze zu umgehen.
Mir würde ja hier ein einfaches Select-Feld reichen um das Zertifikat der Hauptdomain auswählen zu können.

Aber mir ist immer noch schleierhaft warum der NGINX mir einen 500er Error schmeißt

Andere Panels bekommen es doch auch hin, also warum nicht auch dieses ausgereifte Panel ?
Wenn man dieses Feature noch irgendwie einbauen kann, wäre es für mich das perfekte Panel.
Es bietet Multiserver-Support etc etc.
 

ramsys

Member
Woher soll ISPConfig wissen, welches Zertifikat eingebunden oder als Auswahl zur Verfügung gestellt werden soll?
 

Till

Administrator
Ich denke dass Konfigurationen bei denen man so viele subdomains als vhost mit ssl einfügt dass es unzumutbar ist das ssl Zertifikat dafür anzulegen nicht allzu häufig vorkommen werden und es daher auch einfach noch keiner vermisst hat. Aber ich mag mich da natürlich irren. Also füge am Besten einen Feature Request im Bugtracker ein, wenn genügend User dafür voten dann werden wir das einbauen.
 

nowayback

Well-Known Member
Entweder reden wir aneinander vorbei, oder ich steh auf der leitung oder verstehe was falsch.
Warum nicht? Wenn das Zertifikat auf *.domain.endung ausgestellt ist, funktioniert es für domain.endung, www.domain.endung, a.domain.endung, www.a.domain.endung, b.domain.endung, www.b.domain.endung,....
So ich habe den einzigen Fehler in meinen Text mal korrigiert. Es ist aber nur deshalb falsch, weil ich nicht extra erwähnt habe, das man beim Austellen eines Wildcard Zertifikats im Normalfall 2 Einträge anlegt (und je nach Anbieter unbegrenzt weitere anlegen kann).
1. domain.endung
2. *.domain.endung
Damit ist alles abgedeckt was man benötigt. So habe ich auch seit Jahren schon meine Zertifikate im Einsatz - die übrigends nicht self-signed sind, bevor das zum Thema wird ;-)

Das ist ein Argument.
Dann frage Ich mal so:
- Wäre es möglich in den nächsten Versionen so etwas mit einzubauen ? bzw ist so etwas in näherer Zeit geplant?
Ich hab es nicht getestet, aber du könntest als Admin warscheinlich in die nginx direktiven in den Optionen der Website, einfach den Pfad einfügen zum Zertifikat
Code:
        ssl_certificate /var/www/clients/clientY/webX/ssl/domain.endung.crt;
        ssl_certificate_key /var/www/clients/clientY/webX/ssl/domain.endung.key;
 

Werbung

Top