Zertifikat pro Server oder für jede Domain

  • Ich möchte für meinen vServer ein Zertifikat bestellen und bin mir nicht sicher, ob dies pro Domain auf dem Server oder für den Server selbst erstellt werden muss. Ich habe eine IP. Nehme ich beim Domainnamen dann einfach meinen hostname?

  • Ein Zertifikat ist immer Domain und IP gebunden. Wenn du deine Domain also mit dem SSL Cert sichern willst mußt du diese Angeben. Je nach Cert gilt dieses dann für eine Domain oder Alle Subdomans je nach Cert.
    Du kannst dir natürlich auch ein Server Cert erstellen lassen jedoch liegen diese um die 1200 Euro Pro Jahr wenn ich das gerade richtig in Erinnerung habe.


    MfG
    Andre

  • Zitat von sugersgroer;19299

    Ein Zertifikat ist immer Domain und IP gebunden


    Ein Zertifikat ist nur an einen Hostnamen gebunden.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Zitat

    Ein Zertifikat ist nur an einen Hostnamen gebunden.


    Dann mach dich mal schlau ;)


    Zitat

    Neben einer vertrauenswürdigen Zertifikatsstelle gibt es noch vier weitere Beschränkungen für Zertifikate: Ein Zertifikat ist immer an eine IP gebunden. Das bedeutet, eine IP kann nur genau ein Zertifikat besitzen. Zwar gibt es in der Standardisierung Ansätze, das zu ändern, aber das wird wohl noch eine Weile dauern. Im Umkehrschluss müssen Sie für ein SSL-Zertifikat auch eine eigene IP besitzen - ein Umstand, der bei vielen Webhosting-Paketen nicht erfüllt ist. Hier lauern also noch versteckte Kosten, wenn Sie für die eigene IP auf ein größeres Paket oder gar einen eigenen, eventuell virtuellen Server wechseln müssen.......


    Quelle: http://www.internet-profession…/11/23/20061121015.aspx/4

  • Dein Link ist ne ganze Runde garnich Sinnvoll...... Wir reden hier nicht davon was so ein Zertifikat ist ;) denn was anderes wird bei Wiki nicht beschrieben....


    Nahja wie auch immer das es Certs nur an nen Hostnamen gebunden gibt wäre mir völlig neu allerdings beschäftige ich mich auch nicht permanent mit SSL...


    MfG
    Andre

  • Das Zertifikat wird vom Apache ausgeliefert, sobald eine Verbindung aufgebaut wird - zu diesem Zeitpunkt wurde noch nicht übertragen, um welche Domain es gehen soll, daher kann es nur ein Zertifikat pro Kombination von IP und Port geben (aber verschiedene Zertifikate für Port 443 und 8443 wären z.B. möglich).


    Der Browser (bzw. allgemein der Client) vergleicht beim Aufbau der Verbindung den Namen, auf den das Zertifikat ausgestellt wurde, mit der Domain, die aufgerufen wurde. Wie schon gesagt wurde, hat das also nichts mit der IP oder dem internen Hostnamen zu tun. Wenn du beispielsweise deine Domain auf einen anderen Server umziehst, kannst du trotzdem das selbe Zertifikat weiterverwenden. Das heißt aber auch, dass der Name im Zertifikat genau mit der aufgerufenen Domain übereinstimmen muss. Wenn deine Seite sowohl über die IP als auch über eine Domain aufrufbar ist, das Zertifikat aber auf die Domain ausgestellt ist, kriegt man beim Aufruf über die IP eine Warnungsmeldung. Wenn man seine Zertifikate selbst erstellt, kann man das umgehen, indem man Alternativnamen ins Zertifikat schreibt. Damit funktionieren sogar mehrere Domains pro IP/Port-Kombination. Wenn du das Zertifkat irgendwo bestellen willst, hast du diese Möglichkeit sehr wahrscheinlich nicht, daher musst du dir überlegen, wie die Seite aufgerufen werden soll (IP, domain.tld oder www.domain.tld) und das auch bei der Bestellung angeben.

  • :eek:


    Also wenn das stimmt dann danke ich dir herzlichst :)


    Ich werde das gleich mal probieren indem ich ne subdomain auf ne andere IP leite. Dann dürfte ja via SSL keine Warnung kommen und das wiederum würde für mich bedeuten das ich doch mein Cluster System auf die HTTPS Verbindungen ausbauen kann *denk*


    Ich meld mich aber wieder wenns nicht funktionieren sollte :D

    Edit: Dacht ich mir..... Funktioniert nicht! SSL Zertifikat ist an die IP gebunden! Und ja das Cert ist auf dem Server installiert, ist sogar der gleiche Hostname! Ist ein SSL Wildcard Cert und bei einer Subdomain auf einer anderen IP funktionierts nicht, kommt die Warnung.... Soviel dazu das die IP egal ist ;)



    MfG
    Andre

  • Ich bin mir ziemlich sicher, dass ich das nicht habe. Es steht nicht so explizit im Artikel, aber der Ansatz müsste dem Namen nach so funktionieren, dass schon beim Verbindungsaufbau die Domain mitgeteilt wird und daher das passende Zertifikat ausgeliefert werden kann. Bei mir hingegen wird immer das gleiche Zertifikat ausgeliefert, aber das ist für mehrere Domains (bzw. IPs) gültig.


    http://www.openssl.org/docs/ap…Subject_Alternative_Name_


    [Blockierte Grafik: http://img9.imageshack.us/img9/6995/certv.jpg]

  • Jap. Bzw. könnte man schon, man müsste dann halt bei jeder Änderung ein neues Zertifikat erstellen, was sicher nicht gerade ideal ist. Zumal das auch nur geht, wenn man sich das Zertifikat selbst erstellt, eine fremde Zertifizierungsstelle wird sich darauf wohl nicht einlassen. Daher müssen Besucher der Seite dann sowieso beim ersten Versuch dem Zertifikat vertrauen. Wenn sie nur das Zertifikat selbst akzeptieren und sich das dann ständig ändert, könnte das nicht so gut ankommen. ;) Wenn sie allerdings das Root-Zertifikat (der eigenen Zertifizierungsstelle) als vertrauenswürdig einstufen, dürften sie den Übergang beim Zertifkatswechsel nicht merken.

  • Darum halte ich nur den Weg über SNI für eine saubere Lösung. Alles andere ist gefrickel. Dass der IE unter WinXP SNI nicht unterstützt, halte ich für akzeptabel.

  • Letztendlich ist das denke ich eine Entscheidung, bei der es darauf ankommt, was genau man machen will.


    Wenn ich hauptsächlich für mich selbst für verschiedene Administrationsseiten (Backend von WordPress, phpMyAdmin, ...) auf meinem Server eine verschlüsselte Verbindung haben möchte, ohne dass ich ständig über Warnungen stolpere, dann finde ich den Weg über Alternativnamen absolut legitim.


    Sobald mehr oder weniger fremde Personen ins Spiel kommen, muss man abwägen: wie oft müsste das Zertifikat geändert werden, kann man Besuchern zumuten, dass sie das Root-Zertifikat installieren (es macht einen Unterschied, ob der HTTPS-Zugriff an die Allgemeinheit oder an einen bekannten Personenkreis gerichtet ist), welche Browser werden eingesetzt usw.


    Vielleicht kann man auch beide Ansätze kombinieren - denn ich sehe schon ein, dass SNI sauberer ist, aber z.B. mein iPhone unterstützt das noch nicht. Und wenn ich dafür einige Sachen selbst kompilieren muss, anstatt sie über die Paketverwaltung zu beziehen, finde ich das auch nicht gut.

  • Vielen Dank für die Antworten. So richtig schlau bin ich aber noch nicht geworden ;)
    Ich habe mehrere Domains an einer IP auf meinem vServer. Wenn ich jetzt Mails über SSL abholen möchte oder https Seiten aufrufen will, muss ich ja irgendwie/wo ein zertifikat einfügen.
    Unter /etc/ssl/certs/ liegt ja schon ein ssl-cert-snakeoil.pem. Kann man dieses für alle Domains nutzen?

  • Es gibt zwei verschiedene Ansätze, mehrere SSL-Domains auf einer IP-Adresse zu betreiben. Einmal die von Robert [post=19324]beschriebene[/post] X.509 SubjectAltName Erweiterung um ein Zertifikat mit mehrerere Domains auszustellen, und andererseits die von carfall [post=19323]genannte[/post] SSL Server Name Indication, um einen Server mehrere Zertifikate verwenden zu lassen.


    Welche für Variante dich geeignet ist, hängt davon ab ob die CA X.509 SubjectAltName unterstützt, ob dein Webserver/Mailserver Server Name Indication kann, und ob alle Domains von einer Stelle aus kontrolliert werden.