Hallo,
hier ist halt die Frage wie empfindlich von wegen "Hardwareänderung" diverse Lizenzen sind ...
es gibt x "Angriffspunkte"
- virtuelle Platte: hat diese die selbe Größe, die selbe Schnittstelle, ...
- virtuelles RAM: hat dieses die selbe Größe
- virtuelle CPU: passt diese? die selbe Anzahl an Cores? ...
- virtuelles Netzwerkinterface: hat diese die gleiche MAC-Adresse?
werden die virt. Hardwarekomponenten mit den selben Treibern angesprochen?
zwischen 'mal gehört haben' und 'auf seiner Webseite darüber referieren' gibt es schon einen Unterschied.
das Niveau ist wirklich im Keller, jetzt bezeichnet man schon abtippen als referieren 
H6G zwischen kennen und kennen sind halt Unterschiede; ich habs mal gehört, mehr nicht;
und vmk
Deine Anspielung auf F77 hat zwar was, aber Visual FORTRAN ist mir lieber
nebenbei bemerkt, wäre ein Webhosting mit nur F77 eigentlich eines, bei dem man jeden Unfug als CGI ausführen kann;
hab tataächlich mal eine 'Webanwendung' in reinem C programmiert;
keine Ahnung, hab mit keinem der 3 was am Hut ..., sprich war vor meiner Zeit ...
im Feld rechts oben gehört der Domainname, in Summe ergibt dann dann <Hostname>.<Domainname> den FQDN des vServers
in den Feldern Nameserver 1, 2, 3 gehören IP Adressen von DNS-Servern, nur so hat der vServer selbst eine DNS-Auflsg.
bei Domainsuche kannst Du Domainen angeben, welche bei der Namensauflsg. im Falle der Angabe von non-FQDNs angehängt werden,
wird empfohlen leer zu lassen, denn die Angabe ohne abschließenden '.' wird als non-FQDN interpretiert
Es gibt noch ein Mittelding zwischen domain validiert (DV) und erweiterte Validierung (EV) nämlich das Organisations-Validiert (OV), bei dem sind die von m_ueberall genannten Felder zwar befüllt, aber man muss sich selbst darum kümmern sie zu sehen;
manche Browser bieten dies komfortabel an, manche weniger;
und der Preis f. EV (= grüne Leiste) gegenüber OV ist eigentlich in Bezug auf das System-Umfeld mit Vorsicht zu betrachten;
EV und grüne Leiste impliziert NICHT
- sauber implementiert
- zumindest SSLlabs Grade A
- ...
der Umstand bei einigen Browsern, es bei OV doch nicht so leicht sichtbar zu machen, daß da auch z.B. ein Name im Zertifikatssubjekt vorkommt, führt
vermehrt zur Bereitschaft die horrenden Preise eines EV-Zertifkates zu bezahlen;
zur Info: ein Wildcard ist nur als DV od. OV möglich; keine CA signiert ein Wildcard als EV
und MITM-Boxen, die SSL-interception betreiben, machen die grüne Leiste auch zu nichte,
denn diese ist in den Browsern hardcoded an Hand von Eigenschaften des signierenden CA-Zertifikates implementiert;
die CAs gerieten in der Vergangenheit auch unter Druck,
denn Wildcard-Zertifikate wurden bis zu diesem Zeitpunkt ausschließlich als OV angeboten;
Achtung, Popcorn startklar machen:
Tu Dir keinen Zwang an ...
Was soll DAS jetzt wieder bringen!?
Gegenfrage: welchen Sinn hat es dann einen ganzen /64-Prefix an IPv6 Adressen zu haben, die alle an der selben Stelle enden?
die restlichen kann man verwenden,
muss man aber nicht;
Du kannst z.B. nach Diensten bei IPv6 trennen ...
der SMTP Dienst bekommt prefix::25 (smtp.example.com)
der IMAP Dienst bekommt prefix::143 (imap.example.com)
der POP3 Dienst bekommt prefix::110 (pop3.example.com)
der HTTP Dienst bekommt prefix::80 (http://www.example.com)
und in Summe haben alle die selbe IPv4
so ähnlich habe ich das gemacht;
Ob dieses Routing wohl beabsichtigt ist? Über Wien und Amsterdam in die Schweiz:
mit der Kirche ums Kreuz bekommt hier eine ganz neue Bedeutung
man ersetze diese eine oben genannte Zeile durch
der verflixte '*'
mit der Erkenntnis, daß Wildcard Zertifikate, die so erstellt sind, sodaß die maximale Kompatibilität gewahrt ist
mit eigenem CSR nicht gehen ...
dein Beispiel vmk
vom crt.sh wurde nicht so erstellt, schlechtes Beispiel;
quittiert wird dies vom acme.sh mit dem Fehler ...
Sign failed, code is not 200.
{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Error finalizing order :: Order includes different number of names than CSR specifies","status": 403}
die Fehlerstelle im acme.sh habe ich auch lokalisiert
die Fkt. _readSubjectAltNamesFromCSR()
hier findet sich diese Zeile
_dnsAltnames="$(printf "%s" "$_dnsAltnames," | sed "s/DNS:$_csrsubj,//g")"
und wenn der CN des Subjects z.B. '*.example.com' lautet, dann entfernt der Suchstring bei sed den falschen Teil
die Variable $_dnsAltnames hat vorher z.B. 'DNS:*.example.com,DNS:example.com'
und nachher an Stelle von 'DNS:example.com,' aber den falschen Wert 'DNS:*.example.com,'
an der Bugbehebung bin ich dran ...
das habe ich schon,
und bis auf den anderen Key keinen Unterschied zu meinem CSR festgestellt;
moritzh ohne CSR geht es, hier reichen die 240 (eigener DNS);
mit CSR geht es eben nur wenn der SubjectAltName nur *.example.com ist; der CN im Subject ist *.example.com;
das Warum das so ist, erhellt sich mir nicht;
janxb klar kann ich selbst googlen, aber niemand liefert das gesuchte;
dass das da
acme.sh --issue -d example.com -d *.example.com --dns dns_myapi --dnssleep 240
funktioniert hilft mir nicht;
ich brauch es mit dem eigenen CSR, bei dem da
acme.sh --signcsr --csr mycsr.req --dns dns_myapi --dnssleep 240 --force
kommen die seltsamsten Fehler
ich will jetzt aber nicht die Frage bekommen, wieso ich den eigenen CSR brauch;
Funktioniert wunderbar damit, ich verwende acme.sh mit direktem Zugriff auf die netcup DNS API und bekomme ein Zertifikat, dass sowohl meinedomain.tld als auch *.meinedomain.tld abdeckt.
dann lass mal sehen, wie Du das acme.sh aufrufst ...
Du verlinkst nur eine Paywall. Daher kann ich dir nicht helfen.
Du nennst es Paywall, von mir aus; es ging nur darum, zu zeigen dass es nicht geht;
da Du aber das Gegenteil meinst, dann bitte ich darum, das hier verwende ich ...
https://github.com/Neilpang/acme.sh
und ehrlich was ich an den verlinkten/zitierten Passagen weiter oben gelesen habe,
muss man ja wohl sagen, daß hier ein failure by design vorliegt;
und sauber ist das sicher nicht;
vmk Du brauchst nicht sagen welche Domains Du hast, sondern wie es geht,
wo es hier doch nach Definiton eine Kollision gibt ...
Einspruch
Aso, dann erklär mal, weil der DNS Name f. das ACME-DNS Verfahren ist nämlich bei beiden der selbe ...
example.com -> _acme-challenge.example.com
*.example.com -> _acme-challenge.example.com
hier
https://www.heise.de/ct/ausgab…pt-per-Shell-3953352.html
wurde das auch so geschrieben, dass das nicht geht ...
janxb
Nö, example.com. ist ein FQDN
DNS
example.com. IN A 80.80.80.80
rDNS
80.80.80.80.in-addr.arpa. IN PTR example.com.
klappt wunderbar, und verstößt gegen keine Regeln ...
da ich vollstándig Dual-Stack unterwegs bin, verwende ich dafür ::1 vom Prefix
und dieser einen IPv6-Adresse ist kein Dienst zugeordnet,
sprich: Zugriffe auf diese IPv6 werden von IP6tables gedropp'd
bei IPv4 sind die normalen Dienste zugeordnet: Ports 22, 25, 80, 443
auf die Art vermeide ich, daß bei Zugriffen nach außen Hostnamen wie
http://www.example.com, mail.example.com, ... auftauchen, sondern einfach nur example.com
damit bin ich auch nicht auf ein teures Wildcard-Zertifikat angewiesen, weil Let's Encrypt
läßt es nicht zu, daß sowohl example.com als auch *.example.com als SubjectAltNames definiert sind ...
Aus welchem Grund? Querulantentum?
weils nur einen rDNS Eintrag gibt, und dieser ist nur die Domain;
und den brauch ich f. den Mailserver und andere ausgehende Dienste;
