ssl-proxy https://www.name.de/domain.de/

Apache, Lighttpd, nginx, Cherokee
auch
Posts: 6
Joined: 2006-01-06 19:12
Location: Berlin-Lichtenberg

ssl-proxy https://www.name.de/domain.de/

Post by auch »

Hallo, weiss einer von euch wie ich ssl-proxy hinbekomme wie z.B. so:

https://www.name.de/kunden-domain.de/ was muss ich dafür machen?
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: ssl-proxy https://www.name.de/domain.de/

Post by Roger Wilco »

tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: ssl-proxy https://www.name.de/domain.de/

Post by tomotom »

Kann man soetwas im Prinzip auch für Postfix realisieren?

Mir ist klar, dass das oben genannte Howto auf Apache Rewrite basiert. Meine Frage ist ob da jemand eine Lösung oder eine Idee hat auch SMTP und POP Verkehr so ähnlich zu verschlüsseln. Also auch mehere Domains bzw. MTA über ein Cert zu verschlüsseln.
mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: ssl-proxy https://www.name.de/domain.de/

Post by mattiass »

tomotom wrote: Meine Frage ist ob da jemand eine Lösung oder eine Idee hat auch SMTP und POP Verkehr so ähnlich zu verschlüsseln. Also auch mehere Domains bzw. MTA über ein Cert zu verschlüsseln.
POP kannst Du wahrscheinlich mit stunnel http://www.stunnel.org/ verschlüsseln. Bei SMTP verwendet man aber normalerweise TLS -- das sollte in den MTA eingebaut sein.

PS: welchen POP-Daemon verwendest Du und welchen MTA? Die meisten Distributionen bringen Versionen mit, die TLS- oder SSL-aware sind, da muss man nicht mit Wrappern mie stunnel arbeiten.
tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: ssl-proxy https://www.name.de/domain.de/

Post by tomotom »

MattiasS wrote: POP kannst Du wahrscheinlich mit stunnel http://www.stunnel.org/ verschlüsseln. Bei SMTP verwendet man aber normalerweise TLS -- das sollte in den MTA eingebaut sein.
ja, tls verwende ich auch aber mit einem selbsterstellten cert. Der Mailclient kennt das selbsterstellte cert nicht und fragt jedes Mal nach. Ok, ich könnte es auch eintragen in den client als ok aber das will ich nicht. Ein Zertifikat soll für alles E-Mailverbindungen herhalten und der E-Mailclient soll nicht bei jeder Verbindung fragen ob ich das cert annehmen will oder nicht.

Für den Apache geht das ja mit den Rewriterules wie sie das mit Postfix aus?

MattiasS wrote: PS: welchen POP-Daemon verwendest Du und welchen MTA? Die meisten Distributionen bringen Versionen mit, die TLS- oder SSL-aware sind, da muss man nicht mit Wrappern mie stunnel arbeiten.
Alt MTA verwende ich Postfix und als POP-Daemon courier-pop und courier-pop-ssl. Dir können die Verschlüsselung.

Ich würde die gesammte Verschlüssellung gerne über einen sslproxy laufen lassen. So brauch ich nur ein ssl-cert.
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: ssl-proxy https://www.name.de/domain.de/

Post by Roger Wilco »

Da weder SMTP noch POP3 oder IMAP so etwas wie Virtual Hosts bzw. den Host-Header aus HTTP 1.1 kennen, dürfte dein Vorhaben mit nur einer IP-Adresse für alle Domains schwierig bis gar nicht umzusetzen sein.

Du könntest ein X509-Zertifikat mit mehreren CommonNames oder SubjectAltNames erstellen bzw. kaufen und alle Domains eintragen, die du damit sichern willst. Damit kommt aber nicht jeder Client zu Recht.

Sobald du für jede Domain eine eigene IP-Adresse hast, sieht die Sache wieder anders aus. Dann kannst du einfach für jede IP-Adresse/Domain ein eigenes Zertifikat erstellen oder kaufen.