mehrere SSL-Zertifikate auf einem Server

Rund um die Sicherheit des Systems und die Applikationen
schnabelm
Posts: 10
Joined: 2008-08-31 10:47

mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 11:03

Hallo,

wir haben bei einem Hosting Projekt vor, 3 Domains und ihre Subdomains auf einem Server zu hosten. Für alle 3 Domains und ihre Subdomains benötigen wir SSL-Zertifikate, haben allerdings kein großes Budget. Die SSL-Zertifikate sollten allerdings offiziell zertifiziert sein, so dass sie auch in Browsern keine Fehlermeldung anzeigen.

Wie können wir dies nun bewerkstelligen, da ja nur ein SSL-Zertifikat pro IP funktioniert? und auch die Wildcard-SSL-Zertifikate sehr teuer sind, falls wir 3 kaufen müssten? Gibt es dafür keine Lösung nur ein Zertifikat kaufen zu müssen, der dann nur den Webserver zertifiziert und damit auch alle Domains, die darauf laufen, da wir nur einen Webserver haben?

Habt ihr vielleicht einen Lösungsvorschlag oder einen sehr günstigen Anbieter, noch günstiger als rapidssl.com?, dafür wäre ich euch sehr dankbar.

Mit freundlichen Grüßen

Maximilian

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: mehrere SSL-Zertifikate auf einem Server

Post by Roger Wilco » 2008-08-31 11:39

schnabelm wrote:Gibt es dafür keine Lösung nur ein Zertifikat kaufen zu müssen, der dann nur den Webserver zertifiziert und damit auch alle Domains, die darauf laufen, da wir nur einen Webserver haben?

Nein, gibt es nicht.

Ihr könntet aber einen HTTPS-Proxy (SSL-Proxy) einrichten, so dass ihr nur noch 1 Zertifikat benötigt. Der Aufruf der anderen Domains lautet dann eben https://proxy.example.com/deine-domain1.tld/, https://proxy.example.com/deine-domain2.tld/ usw.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: mehrere SSL-Zertifikate auf einem Server

Post by daemotron » 2008-08-31 12:22

Ein Multi-Domain-Zertifikat wäre noch eine Option, aber eigentlich geht das am Sinn von SSL vorbei. Und wahrscheinlich ist eine zusätzliche IP-Adresse auch günstiger zu haben als ein MDC.

Zu deinem zweiten Problem: Es gibt einige freie CAs bzw. CAs, die für den Hausgebrauch kostenfreie Zertifikate (allerdings dann mit niedrigerem Trust-Level) anbieten. Einfach mal bei Google schauen, da sollten sich einige finden lassen.

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 12:59

Danke für eure Antworten, aber ich denke wir werden uns dann auf ein Wildcard-SSL-Zertifikat beschränken, da dies uns noch die einfachste und sicherste Lösung erscheint.

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 19:13

Hey,

Wir sind jetzt doch zu dem Entschluss gekommen, dass ein SSL-Proxy besser wäre. Dafür benötigen wir dann auch nur ein günstiges ein Domain Zertifikat. Besteht auch die Möglichkeit, wenn der SSL-Proxy Pound die Dateien entschlüsselt hat, diese mit einem selbst zertifiziertem Zertifikat wieder zu verschlüsseln und diese dann verschlüsselt an den Webserver weiterzuleiten, so dass man diese Lösung auch im Internet benutzen könnte? Man könnte ja dann das selbst erstellte Zertifikat vom Webserver in den Proxy Server laden und dieser müsste dann keine Fehlermeldung anzeigen, wenn dieses Zertifikat nicht offiziell zertifiziert ist, oder?

Danke für eure Hilfe

Maximilian

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: mehrere SSL-Zertifikate auf einem Server

Post by Roger Wilco » 2008-08-31 19:15

schnabelm wrote:Besteht auch die Möglichkeit, wenn der SSL-Proxy Pound die Dateien entschlüsselt hat, diese mit einem selbst zertifiziertem Zertifikat wieder zu verschlüsseln und diese dann verschlüsselt an den Webserver weiterzuleiten, so dass man diese Lösung auch im Internet benutzen könnte?

Welchen Sinn hätte es, von dem Proxy aus über eine HTTPS-Verbindung auf die Seiten zuzugreifen? Das ist unnötiger Overhead, zumal die Seiten bei euch ja auf dem gleichen System gehostet werden.

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 19:30

wenn man aber mehrere Server nutzen würde, die an unterschiedlichen Standorten stehen, könnte man das so machen, dass man die Weiterleitung wieder verschlüsselt? So wäre ein Load-Balancing möglich.
Last edited by schnabelm on 2008-08-31 19:34, edited 1 time in total.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: mehrere SSL-Zertifikate auf einem Server

Post by Roger Wilco » 2008-08-31 19:33

schnabelm wrote:wenn man aber mehrere Server nutzen würde, die weltweit verteilt stehen, und nur über das Inet verbunden sind, wäre das möglich, oder sollte man eher auf VPN setzen oder andere Lösungen?

In diesem Falle könntest du entweder für jeden der Server (sofern pro Site ein Server benutzt wird) ein eigenes SSL-Zertifikat ausstellen lassen. Damit wäre das Problem aus dem ersten Post erst gar nicht entstanden.

Ansonsten würde ich tatsächlich zu einer VPN-Lösung tendieren, zumal du dann nicht auf HTTP(S) beschränkt bist.

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 19:36

mir war dabei eben der Load-Balancing effekt wichtig. VPN würde dabei vielleicht etwas zu viel Bandbreite kosten?. Da wäre SSL eventuell doch besser? Oder doch ganz anders?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: mehrere SSL-Zertifikate auf einem Server

Post by Roger Wilco » 2008-08-31 19:43

schnabelm wrote:mir war dabei eben der Load-Balancing effekt wichtig. VPN würde dabei vielleicht etwas zu viel Bandbreite kosten?. Da wäre SSL eventuell doch besser? Oder doch ganz anders?

Ob du jetzt die Daten via HTTPS oder HTTP über ein VPN (evtl. sogar ein SSL-VPN, wie OpenVPN) überträgst, nimmt sich weder in der Bandbreite noch in der Prozessorbelastung viel und wie schon erwähnt hast du bei einem VPN den Vorteil, dass du alle Services und nicht nur HTTP darüber laufen lassen kannst.

Vielleicht solltest du deine Anforderungen auch einfach nochmal klar und strukturiert darlegen. Im ersten Post war noch von einem einzigen System die Rede, jetzt plötzlich eine verteilte Serverfarm...

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 19:45

Das ist mir schon klar, aber was ist besser, wenn man alle SSL-Anfragen per SSL weiterleitet ohne VPN oder die VPN-Verbindungen immer geöffnet hat, da es ja nicht nur eine ist, sondern mehrere VPN-Verbindungen?
Jetzt mal abgesehen davon, dass nicht nur https-Verbindungen übertragen werden, und im Bezug auf die Ressourcenauslastung
Last edited by schnabelm on 2008-08-31 19:47, edited 1 time in total.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: mehrere SSL-Zertifikate auf einem Server

Post by daemotron » 2008-08-31 19:47

VPN ist sogar günstiger als HTTPS, da nicht bei jedem Request (jede HTML-Seite, jedes CSS-Stylesheet, jede Grafik :!: ) eine neue Verbindung aufgebaut wird. Damit entfällt das permanent erneute Aushandeln eines Sítzungsschlüssels und die Verifizierung der Gegenstelle, der Overhead ist also deutlich geringer.

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 19:48

alles klar, danke, das wollte ich wissen

schnabelm
Posts: 10
Joined: 2008-08-31 10:47

Re: mehrere SSL-Zertifikate auf einem Server

Post by schnabelm » 2008-08-31 20:15

eine letzte frage habe ich noch. Wenn ich diese Lösung über SSL-Proxy benutze muss ich ja die SSL-Websites über ssl.domain.de/domain0 aufrufen. Wie richte ich dazu jetzt eine Domain Weiterleitung ein, wenn ich nicht immer SSL benutzen möchte, sondern nur manchmal? Am besten sollte bei den Kunden auch eine andere Domain stehen als die ssl.domain.de/..., kann ich dies über Frame-Weiterleitung bewerkstelligen, oder ist dies nicht möglich?

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: mehrere SSL-Zertifikate auf einem Server

Post by daemotron » 2008-09-01 10:28

Für SSL hast Du doch einen separaten VHost - für den "Normal"-Zugriff brauchst Du also nicht weiter einrichten, der müsste mit dem ursprünglichen VHost doch schon funktionieren. Was Frame-Weiterleitungen angeht: Lass es lieber. SSL macht man, um Daten zu schützen und Vertrauen zu schaffen. Dass dann hinter einem Frame zu verstecken, wo der Besucher die URL trotzdem rausbekommt (und wenn's über das Zertifikat ist), schafft zusätzliches Mißtrauen. Außerdem merkt man relativ schnell, dass sich die angezeigte URL nie ändert, und der Frame hätte ja auch eine http- anstelle einer https-URL.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: mehrere SSL-Zertifikate auf einem Server

Post by Joe User » 2008-09-01 11:24

HTTPS-Verbindungen innerhalb unverschlüsselter Frames werden von modernen Clients und Anti-Viren-Software oft als Phishing-Attacken interpretiert und das möchte man seinen Kunden nicht erläutern müssen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.