SSL-Zertifikat für Subdomain i.V.m Cloudflare einrichten

  • Hallo,


    ich habe für eine Subdomain ein SSL-Zertifkat beantragt und habe leider die Fehlermeldung erhalten, dass IP des Webhostings und IP von Cloudflare (ich nutze für die Website schon Cloudflare und das funktioniert auch) nicht übereinstimmen. Ich habe bei Cloudflare die Subdomain im A-Record auf die IP der Hauptdomain (des Webhostings) gesetzt. Leider noch kein Erfolg.


    Kann hier jemand weiterhelfen?

  • Ich konnte das Problem inzwischen lösen und möchte die Lösung kurz für alle dokumentieren:


    Zitat

    Bei Cloudflare muss die End-to-End-HTTPS-Verschlüsselung für den durch Cloudflare geschützten Website-Verkehr konfiguriert werden. Der Abschnitt SSL der Cloudflare-App SSL/TLS enthält verschiedene Optionen, die bestimmen, ob Cloudflare eine sichere Verbindung zu Ihrem Ursprungswebserver herstellt. Vollständig (streng) gewährleistet eine sichere Verbindung zwischen dem Besucher und Ihrer Cloudflare-Domain sowie zwischen Cloudflare und Ihrem Ursprungswebserver. Vollständig gewährleistet eine sichere Verbindung zwischen dem Besucher und Ihrer Cloudflare-Domain sowie zwischen Cloudflare und Ihrem Webserver. Die vollständige SSL-Option überprüft nicht die Authentizität des SSL-Zertifikats am Ursprung. Ein selbstsigniertes Zertifikat ist auf dem Ursprungswebserver zulässig.

    Für Let's Encrypt-Zertifikate ist demnach "vollständig" statt "vollständig strikt" zu wählen.

  • Wenn ich das richtig im Kopf habe, musst du um ein Let's Encrypt Zertifikat zu erhalten die Domain einem Webhosting zuordnen. Wenn das, dass gleiche Webhosting Paket ist auf welches auch deine Webseite hostet, ist somit die IP Nummer bekannt und kann bei DNS History Suchmaschinen abgerufen werden.


    Jemand der also eine Attacke auf dich bzw. deine Webseite vor hat, sucht sich einfach die IP aus der DNS History raus und greift diese an (sowieso sinnvoller als die Domain anzugreifen).

  • Wenn ich das richtig im Kopf habe, musst du um ein Let's Encrypt Zertifikat zu erhalten die Domain einem Webhosting zuordnen.


    Nein. Die Zertfikate bekommst du schon ca 5 Jahren auch per DNS Nachweis: https://letsencrypt.org/de/docs/challenge-types/ . Damit kannst du sogar für vollkommen isolierte Netzwerk Lets Encrypt-Zertifkate dir ausstellen lassen, falls du Zugriff auf die DNS-Server hast.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Nein. Die Zertfikate bekommst du schon ca 5 Jahren auch per DNS Nachweis: https://letsencrypt.org/de/docs/challenge-types/ . Damit kannst du sogar für vollkommen isolierte Netzwerk Lets Encrypt-Zertifkate dir ausstellen lassen, falls du Zugriff auf die DNS-Server hast.

    Ja, ich weiß welche Möglichkeiten es gibt. Ich ging hier aber auf den TE ein, bei dem anzunehmen war (Ursprungsbeitrag), dass er Lets Encrypt über das Webhosting Paket beantragt hat. Wenn die Webserver / Ursprungs IP allerdings einmal im Umlauf war, hilft das sowieso alles nichts mehr. Bis ich das damals verstanden hatte, habe ich einige IP Nummern verbraten 8o