warum nur eine IP für ssl domains?
Alain
- webserver
0 Sven Rautenberg0 Andreas Korthaus0 Alain0 Nicola Straub0 Alain
Hallo,
Ich habe bei http://server.1und1.com/root_server/howto/6.html
gelesen,dass man pro ssl domain nur eine IP verwenden kann.
Da ich aber verschiedene domains habe,die auf der selben IP laufen ist es
nun so nicht möglich für jede domain eine eigene https// verbindung zu haben mit
einem jeweils zur domain passenden zertifikat.
Warum ist das so?Das würde doch vieles ersparen,wenn man einfach zur jeder domain
ein eigenes zertifikat hätte unabhängig von der IP?
Das problem bei nur einem zertifikat ist wenn der common name (domainname) nicht
übereinstimmt,dann sendet der browser eine warnmeldung was ja auch den benutzer
verunsichert. ein beispiel https://www.reseller4you.com/ für dieses problem.
MfG
Alain
Moin!
Warum ist das so?Das würde doch vieles ersparen,wenn man einfach zur jeder domain ein eigenes zertifikat hätte unabhängig von der IP?
SSL ist eine Schicht zwischen TCP und HTTP. Das bedeutet: Der Server erfährt bei virtuellen Hosts erst durch den HTTP-Request, welcher VHost denn eigentlich gemeint ist - und zu diesem Zeitpunkt muß mit SSL schon die Verschlüsselung hergestellt worden sein. Du kannst also nicht einen spezifischen virtuellen Host mit SSL ansprechen, weil es sonst zu einem Henne-Ei-Problem käme.
Das problem bei nur einem zertifikat ist wenn der common name (domainname) nicht übereinstimmt,dann sendet der browser eine warnmeldung was ja auch den benutzer verunsichert.
Richtig. Weil unterschiedliche Domainnamen verwendet werden, müssen unterschiedliche Zertifikate verwendet werden. Welches Zertifikat zum Einsatz kommt, würde sich nach dem virtuellen Host entscheiden - dann ist es aber schon zu spät.
Du kannst natürlich deine diversen SSL-Hosts auf unterschiedliche Ports packen. Dann wird die Unterscheidung zwischen den Hosts eben auf Portbasis getroffen, das funktioniert auch. Aber dann hast du natürlich das Problem, dass du nicht mehr nur nach https://example.com/ verlinken mußt, sondern nach https://example.com:port/ - und das ist unter Umständen dann auch wieder etwas aufwendig. Außerdem findet man diese URL mit Sicherheit nicht so leicht wieder.
- Sven Rautenberg
Hi!
Warum ist das so?Das würde doch vieles ersparen,wenn man einfach zur jeder domain
ein eigenes zertifikat hätte unabhängig von der IP?
Was soll das Zertifikat denn dann noch bringen? Der Witz ist ja, dass so sichergestellt wird, dass wenn Du "https://example.com" eingibts, dass Du auch tatsächlich auf der Maschine landest, wofür das Zertifikat registriert wurde. Wenn diese Verknüpfung nicht gegeben ist - wie will man dann noch sicher sein dass der Rechner der sich als "https://example.com" ausgibt tatsächlich der ist, für den Du ihn hälst? Da bräuchte es nur eine minimale Manipulation und Du landest auf einer anderen Maschine.
Dazu kommt, dass Du bei SSL keine namebased Virtual Hosts verwenden kannst, das heißt wenn Du schon mehrere Domains auf einer Maschine haben willst, brauchst Du mehrere IPs(ip-based virtual hosts). Und dann auch für jede ein eigenes Zertifikat. Das funktioniert natürlich wunderbar.
Grüße
Andreas
Hallo,
danke an beide für die info.
Dazu kommt, dass Du bei SSL keine namebased Virtual Hosts verwenden kannst, das heißt wenn Du schon mehrere Domains auf einer Maschine haben willst, brauchst Du mehrere IPs(ip-based virtual hosts). Und dann auch für jede ein eigenes Zertifikat. Das funktioniert natürlich wunderbar.
Die frage nun ist,wenn ich eine zusätzliche IP für meine andere domain beantrage auf derselben maschine,
würde der ssl server dann erstmal das CA zertifikat vom rootserver aufrufen oder kann man da auch ein eigenes erstellen?
Einfach gefragt,wäre die neue IP basierte domain dann vollkommen unabhängig vom rootserver ausgesehen,was die ssl domain betrifft?
Gruss vom Alain
Hi!
Die frage nun ist,wenn ich eine zusätzliche IP für meine andere domain beantrage auf derselben maschine,
Kannst bei 1und1 vergessen...
würde der ssl server dann erstmal das CA zertifikat vom rootserver aufrufen oder kann man da auch ein eigenes erstellen?
Du kannst auch eine eigene CA erstellen und das damit signieren, nur kommt dann halt die Sicherheismeldung im Browser.
Wenn Du 2 verschlüsselte Domains mit jeweils eigener IP auf einem Server haben willst, brauchst Du entsprechend auch 2 von einer vertrauenswürdigen CA signierte Zertifikate. Ob die beiden IPs jetzt auf eienr Maschine sind oder nicht ist egal, nur muss die Zuordnung Hostname->IP passen.
Einfach gefragt,wäre die neue IP basierte domain dann vollkommen unabhängig vom rootserver ausgesehen,was die ssl domain betrifft?
Das verstehe ich jetzt nicht. Wenn Du nur eine Domain per SSL-verschlüsselst, kannst Du nebenher auf port 80 so viele Domains (namebased virtual hosts) haben wie Du willst. Das kann alles über ein IP gehen, auch über dieselber wie Deine SSL-Domain.
Wenn Du 2 Domains per SSL verschlüsseln willst, brauchst Du 2 IPs und 2 Zertifikate, andere Domains, die nicht verschlüsselt sind können unproblematisch nebenher laufen, auf einer der beiden IPs.
Grüße
Andreas
hallo,
Die frage nun ist,wenn ich eine zusätzliche IP für meine andere domain beantrage auf derselben maschine,
Kannst bei 1und1 vergessen...
ich bin nicht bei 1und1,das war nur ein beispiel
würde der ssl server dann erstmal das CA zertifikat vom rootserver aufrufen oder kann man da auch ein eigenes erstellen?
Du kannst auch eine eigene CA erstellen und das damit signieren, nur kommt dann halt die Sicherheismeldung im Browser.
das passt schon.
Wenn Du 2 verschlüsselte Domains mit jeweils eigener IP auf einem Server haben willst, brauchst Du entsprechend auch 2 von einer vertrauenswürdigen CA signierte Zertifikate. Ob die beiden IPs jetzt auf eienr Maschine sind oder nicht ist egal, nur muss die Zuordnung Hostname->IP passen.
ok das wollt ich wissen,
Einfach gefragt,wäre die neue IP basierte domain dann vollkommen unabhängig vom rootserver ausgesehen,was die ssl domain betrifft?
Das verstehe ich jetzt nicht.Wenn Du nur eine Domain per SSL-verschlüsselst, kannst Du nebenher auf port 80 so viele Domains (namebased virtual hosts) haben wie Du willst. Das kann alles über ein IP gehen, auch über dieselber wie Deine SSL-Domain.Wenn Du 2 Domains per SSL verschlüsseln willst, brauchst Du 2 IPs und 2 Zertifikate, andere Domains, die nicht verschlüsselt sind können unproblematisch nebenher laufen, auf einer der beiden IPs.
alles klaro
MfG
Alain
Hi!
Was soll das Zertifikat denn dann noch bringen? Der Witz ist ja, dass so sichergestellt wird, dass wenn Du "https://example.com" eingibts, dass Du auch tatsächlich auf der Maschine landest, wofür
Genau.
Wenn du das 'Problem' hast, Angebote auf diversen virtuellen Webservern zu haben und fuer alle auch SSL zu benoetigen, also mehrere Shops z.B., dann mach es doch so: Bau dir fuer die SSL-Chose eine eigene gut klingende Domain - SSL-Kasse.de, in der Art. Und dann verleg alle Shopwarenkoerbe/Zahlablaeufe halt diese, z.B. mit Adressen wie Shop1.SSL-Kasse.de, shop2.SSL-Kasse.de usw.
Achtung: dafuer brauchst du ein besonderes (teureres) Zertifikat, dass eben *.domain.xy erlaubt - zumindest war das so, als ich das mal aufgesetzt hab.
Herzliche Gruesse
Nicola
hi,
Wenn du das 'Problem' hast, Angebote auf diversen virtuellen Webservern zu haben und fuer alle auch SSL zu benoetigen, also mehrere Shops z.B., dann mach es doch so: Bau dir fuer die SSL-Chose eine eigene gut klingende Domain - SSL-Kasse.de, in der Art. Und dann verleg alle Shopwarenkoerbe/Zahlablaeufe halt diese, z.B. mit Adressen wie Shop1.SSL-Kasse.de, shop2.SSL-Kasse.de usw.
ich nehm mal an,dann müsste ich auch mehrere Ips haben,wenn ich shop2.SSL-Kasse.de und shop3.SSL-Kasse.de als ssl domain brauchen möchte,
wenn schon,dann eine von den beiden.
Achtung: dafuer brauchst du ein besonderes (teureres) Zertifikat, dass eben *.domain.xy erlaubt - zumindest war das so, als ich das mal aufgesetzt hab.
nö brauch ich nicht,meine sind selbst signiert.
Meine frage dazu war nur,ob das CA zertifikat vom RSA rootserver einen einfluss hat
wenn ich eine andere domain mit einer seperaten IP beantrage.
Grüsse
Alain
Hi!
ich nehm mal an,dann müsste ich auch mehrere Ips haben,wenn ich shop2.SSL-Kasse.de und shop3.SSL-Kasse.de als ssl domain brauchen möchte,
Jepp. Andere Möglichkeit wäre eine SSL-Domain wie ssl.example.com, und hinter der ein ssl-fähiger reverse-proxy, und dann von da aus mit
https://ssl.example.com/non-ssl-domain1.com/
https://ssl.example.com/non-ssl-domain2.com/
...
dann brauchst Du nur eine SSL-Domain (ssl.example.com), und die anderen kannst Du entsprechend intern an einen Apachen umleiten und dort ganz normaler namebased Virtual Hosts verwenden.
so wie es die Provider machen(wie auch in dem von Dir benannten Howto erwähnt: "https://ssl.proxydomain.de/domain.de/")
Achtung: dafuer brauchst du ein besonderes (teureres) Zertifikat, dass eben *.domain.xy erlaubt - zumindest war das so, als ich das mal aufgesetzt hab.
Ah, das habe ich hier kürzlich schinmal gefragt, hast Du das bei geotrust gemacht? Mit welchen Browsern funktioniert das?
nö brauch ich nicht,meine sind selbst signiert.
Na dann, aber auch in diesem Fall brauchst Du entweder mehrere IPs oder einen reverse-proxy.
Meine frage dazu war nur,ob das CA zertifikat vom RSA rootserver einen einfluss hat
wenn ich eine andere domain mit einer seperaten IP beantrage.
Was für einen Einfluss? Ich dachte Du signierst das Zertifikat selber?
Wenn Du selber signierst kommt immer die Warnmeldung im Browser.
Grüße
Andreas
hallo,
Meine frage dazu war nur,ob das CA zertifikat vom RSA rootserver einen einfluss hat
wenn ich eine andere domain mit einer seperaten IP beantrage.Was für einen Einfluss? Ich dachte Du signierst das Zertifikat selber?
ja schon,aber das eine (nicht von mir signierte CA zertifikat) alte soll ja bestehen bleiben
https://www.smartmin.com (ich habe dort keinen einfluss) während die andere
domain https://www.reseller4you.com ja dann nicht mehr über dieselbe IP wie die von smartmin.com
laufen soll,desshalb die frage ob das CA zertifikat vom haubtserver nun einen einfluss hat auf weitere
ssl.domains mit anderen Ips.
Wenn Du selber signierst kommt immer die Warnmeldung im Browser.
klar.
MfG
Alain
Hi!
ich nehm mal an,dann müsste ich auch mehrere Ips haben,wenn ich shop2.SSL-Kasse.de und shop3.SSL-Kasse.de als ssl domain brauchen möchte,
Ich meine, das brauchte man eben genau nicht, weil man nur ein Zertifikat anlegte - fuer *.domain.yx.
Achtung: dafuer brauchst du ein besonderes (teureres) Zertifikat, dass eben *.domain.xy erlaubt - zumindest war das so, als ich das mal aufgesetzt hab.
Ah, das habe ich hier kürzlich schinmal gefragt, hast Du das bei geotrust gemacht? Mit welchen Browsern funktioniert das?
Aehm, bei Verisign damals. Das waren die einzigen, die Zertifikate fuer Domains mit *Unterdomains anboten. Ist gute 4 Jahre her und ich weiss nicht, ob es das noch immer gibt.
Herzliche Gruesse
Nicola
Hi!
Ah, das habe ich hier kürzlich schinmal gefragt, hast Du das bei geotrust gemacht? Mit welchen Browsern funktioniert das?
Aehm, bei Verisign damals. Das waren die einzigen, die Zertifikate fuer Domains mit *Unterdomains anboten. Ist gute 4 Jahre her und ich weiss nicht, ob es das noch immer gibt.
Interessant, ich dachte immer _gerade_die_ würden sowas nicht anbieten, da muss ich wohl nochmal gucken.
Und das funktionierte anstandslos in allen gängigen Browsern?
Danke Dir!
Grüße
Andreas