ssl für Webseiten und Mail

Ohne eine spezielle Methode per TSL, was derzeit nicht wirklich unterstützt wird, wird pro Zertifikat keine IP-Adresse benötigt (einer der Gründe, warum IPv6 so wichtig ist).
Die Zertifikate trägst du einfach in den Defaulthost ein und in den vHosts mindestens das "sslengine on". Ich würde vorsichtshalber auch die Zertifikate erneut eintragen.

Zitat von Darian;23601

Ohne TSL wird pro Zertifikat schon eine IP Adresse benötigt, und deshalb bräuchte ich jetzt pro Subdomain eine IP? Stimmt das so?

Es gibt auch (teurere) Wildcard-Zertifikate, die dann z.B. für *.example.net gelten, also für alle Subdomains einer Domain

Zusätzliche IPs für netcup vServer bekommst du hier: Zusätzliche IP
Diesen Wunsch musst du allerdings schriftlich per Fax/Post begründen!

MfG Christian

Zitat von Darian;23638

Gibt es keine andere Möglichkeit, oder sind IPv6 Adressen billiger?

IPv6 gibt es noch nicht regulär bei netcup. Damit würdest du aber auch alle IPv4 Nutzer ohne mindestens einen IPv6 Tunnel ausschließen. Also auch noch keine sinnvolle Lösung.

Die andere Möglichkeit ist die von Artimis erwähnte Methode. Dafür brauchst du allerdings eine ziemlich neue Webserver Version und neue SSL Libs. Diese gibt es z.B. im aktuellen stabilen Debian Zweig noch nicht. Die müsstest du also selbst kompilieren und im Idealfall als Paket installieren. Ob das allerdings schon stabil läuft weiß ich nicht. Empfehlen würde ich es also noch nicht, denn damit schließt du auch einige Browser unter Windows XP oder älteren Systemen aus, die diese neue Methode nicht unterstützen.

MfG Christian

Eine andere saubere Möglichkeit gibt es nicht.
Ich mache es z.B. so, dass ich nur richtig wichtie Seiten mit einer eigenen IP und einem eigenen Zert hoste. Die anderen verwenden Wildcard-Zertifikate (mit Aliasen), die ich mit einer eigenen CA signiere. Wer öfter auf meinen Seiten unterwegs ist, importiert meine CA und hat nie wieder Ärger mit meinen Zertifikaten, auch, wenn ich z.B. ein weiteres Alias hinzufüge.
Man kann natürlich auch einfach ein Zertifikat für alles nehmen und mit den Warnungen der Browser, dass das Zertifikat für eine andere Website gilt, leben. Das ist wohl das einfachste.

Ansonsten: Ob IPv6 günstiger sind?
Naja, auf jede IPv4-Adresse kommen mehr als 18,4 Trillionen IPv6-Adressen. Sprich: Anstelle von einer IPv4-Adresse bekommst du genug IPv6-Adressen, um jedem Quadratmeter der Erde mal eben 36200 IPv6-Adressen zuzuweisen.
=> Ja, IPv6-Adressen sind irgendwo doch günstiger.

Ich habe (mehr oder weniger freiwillig) einfach meine subdomains - bis auf eine für den MX - über Bord geworfen und stattdessen einen reverse proxy aufgesetzt. So sind alle Dienste über http://meinedomain/dienst statt über http://dienst.meinedomain.de erreichbar.

Wenn du unbedingt saubere Zertifikate einsetzen willst ohne etwas zu bezahlen oder zu basteln, ist das wohl die sauberste lösung - IHMO.

:eek: Üäh, ich sehe gerade, dass ich oben Mist geschrieben habe.
Ich habe behauptet, auf eine IPv4-Adresse kommen in etwa 18,4 Trillionen IPv6-Adressen, genug, um jedem Quadratmeter der Erdoberfläche 36200 Adressen zuzuweisen.

Das ist natürlich Quatsch.

Auf eine IPv4-Adresse kommen ca. 80 Quadrilliarden Ipv6-Adressen. Und diese reichen, um jedem Quadratmikrometer der Erdoberfläche 155 IPv6-Adressen zuzuweisen.

Hintergrund: IPv4 bietet einen Pool von 2^32 möglichen Kombinationen. Dort fallen jedoch einige Bereiche weg (Subnet-Identifier, Broadcast, reservierte Blöcke...), was ich jedoch vernachlässigt habe.
IPv6 bietet dagegen einen Pool von 2^128 möglichen Kombinationen, wo um ein unverhältnismäßig großes Vielfaches weniger Adressen wegfallen. Alleine der Pool ist also ca. 80 Quadrilliarden mal so groß.

Fazit: Mit der Einführung von IPv6 wird das Zertifikatgehühner aus dem Gedächtnis gelöscht werden. Und zwei Jahre später wird königlich darüber gelacht werden.

oder auch:
man könnte jedem sandkorn aller wuesten eine eigene ip geben.:)