Hallo zusammen

Ich bin gerade dabei meinen neuen Server zu installieren. Bin gerade dabei alle meine Services mit SSL zu versehen (cyrus-imap, postfix, proftpd, apache).

Jetzt waere es praktisch wenn ich EIN SSL-Zertifikat haette welches alle meine Domains (ca. 14) abdeckt. Wie kann ich das erreichen ? Ist das ueberhaupt schlau (wenn nein wie konfiguriert man dann pro domain die zertifikate ?) ?

gruss ben

Ja griaß Di,
zu apache:
Wenn du ein Zertifikat generierst, musst du eine Domain angeben. Wenn die nicht mit der Domain des Servers übereinstimmt, meckert der Browser. Der Benutzer kann aber trotzdem das Zertifikat akzeptieren. Abgesehen von der Browserabfrage bei jedem neuen Aufruf der URI würde es also funktionieren, ein Zertifikat für mehrere Domains herzunehmen. Wenn du nun für jede Domain ein eigenes Zertifikat generierst, kann es dir passieren, dass der Browser immernoch herummeckert. Und zwar dann, wenn du in deiner httpd.conf zwar mehrere VirtualHost-Einträge mit nur einer IP-Adresse hast. Das SSL-Handshake interessiert sich nämlich nicht für VirtualHost-Abschnitte sondern funktioniert auf IP-Ebene. Das heißt, dass du bei SSL für jede Domain eine eigene IP-Adresse brauchst, wenn du es richtig machen willst.

Bei selbstgenerierten zertifikaten "meckert" der client sowieso da diese nicht von einer vertrauenswürdigen Root-CA signiert sind.

mfg
cane

Ja griaß Di,

Bei selbstgenerierten zertifikaten "meckert" der client sowieso da diese nicht von einer vertrauenswürdigen Root-CA signiert sind.Stimmt, aber nur einmal. Sobald man das Zertifikat "dauerhaft" akzeptiert hat gibt der Browser Ruhe bis es abgelaufen ist. Im oberen Fall ist das nicht so. Da meckert der Browser, wenn man ihn zwischenzeitlich geschlossen hatte, immer wieder neu, dass die Domainnamen nicht übereinstimmen.

Dann erstell halt für jede Domain ein eigenes...
Führt wohl kein Weg dran vorbei...

Alternative: Mit Subdomains arbeiten...

mfg
cane

Okay... Ich weiss jetzt nicht, ob das gut oder schlecht ist, aber ich habe es bei mir SO gelöst:

Trage beim Domain-Namen einfach * ein...
Das scheint auch als eine Art "wildcard" zu fungieren und funktioniert - zumindestens bei mir - ziemlich gut...

Hi,
Also Wildcard-Zertifikate gibt es wirklich, da kann man z.b. ein Zertifikat für *.domain.tld erstellen, welches dann für jede Subdomain gebraucht werden kann. Kostet aber was, ob man das selber machen kann, weiss ich nicht.

Gruss
Chrigu

Natürlich kann man sich auch solche Zertifikate selber machen!
Nur das "überprüfen" und "Unterschreiben" des Zertifikates kostet etwas, wenn man es von einer CA machen lässt...

Jetzt waere es praktisch wenn ich EIN SSL-Zertifikat haette welches alle meine Domains (ca. 14) abdeckt. Wie kann ich das erreichen ? Ist das ueberhaupt schlau (wenn nein wie konfiguriert man dann pro domain die zertifikate ?) ?
Das ganze nennt sich SSL-Proxy. Eine Anleitung gibt es z. B. hier (http://web.archive.org/web/20030202083552/server.1und1.com/root_server/howto/8.html).