RootForum Community

Hallo,

bin neu hier und stolpere direkt mal mit einer Frage rein zu der ich so keine Infos hier finden konnte. :oops:

Auf einem Server A läuft eine Webanwendung. Verschiedene Instanzen dieser Webanwendung sind per name based VHosts erreichbar.
Bsp.: app1.name.tld, app2.name.tld usw.

Die Domain auf welche die VHosts laufen wird extern konfiguriert. Der A-Record von xxx.name.tld wird dazu auf die Serveradresse
gesetzt und die Anwendung ist somit erreichbar.

Wenn ich jetzt mit SSL verschlüsseln will, reicht da theoretisch ein Wildcard Zertifikat für *.name.tld aus um alle Instanzen der Anwendung
unter *.name.tld abzusichern. Sind dann durch die "Weiterleitung" irgendwelche Probleme zu befürchten? Bin mir da gerade nicht sicher,
aber eigentlich müsste ja durch den Eintrag im A-Record die Domain auf diesem Server dann auch per SSL ohne Fehler erreichbar sein.

Hab ich was übersehen oder nicht dran gedacht?

Welche Weiterleitungen?
Wenn das Zertifikat für *.name.tld auf ausgestellt ist können auch nur Verbindungen die über diese Domain laufen Verifiziert werden.

Ok. "Weiterleitung" ist in dem Fall der falsche Ausdruck. Ich hab mir das Ganze mal nochmal durch den Kopf gehen gelassen.
Ich glaube ich sehe da ein Problem wo gar kein Problem ist.

Wenn der A-Record für die Domain auf die Server IP gesetzt ist, und eben eine Verbindung zu xxx.name.tld hergestellt wird,
greift ja das Wildcard Zertifikat auf dem Server für die Domain. Wo jetzt die Domain verwaltet wird, ist ja letzlich vollkommen egal.

Ich dachte irgendwie dass die Anfrage an Server A geht dann aber von Server B beantwortet wird. Dann gäbe es evtl. Probleme mit
den Zertifikaten weil zwei Server und zwei IP's im Spiel wären. Aber durch den A-Record ist es ja eben nur ein "normaler" Zugriff
auf den Webserver.

Wahrscheinlich habe ich jetzt mich und alle anderen endgültig und vollständig verwirrt. ;)

pantarhei wrote:Wahrscheinlich habe ich jetzt mich und alle anderen endgültig und vollständig verwirrt. ;)

Yep. Wie und wo kommt denn jetzt auf einmal Server B ins Spiel? Ist das ein Spiegel von A zur Lastverteilung? Erfolgt das Loadbalancing (so Du das damit meinst) per DNS ("Round Robin")?

Generell gilt bei SSL: Der Browser macht dann Stunk, wenn der CN des Zertifikats nicht zum Hostnamen aus der URI passt. Der Browser löst erst mal den Hostnamen in eine IP-Adresse auf (nur hier kommt der A-Record ins Spiel). Der SSL-Handshake findet statt, bevor das HTTP-Protokoll initialisiert wird. Insofern weiß zu diesem Zeitpunkt der Server noch gar nicht, welche Host-Angabe später im HTTP-Header übergeben wird. Deshalb sendet er das Zertifikat, das für diese Kombination aus IP und Port hinterlegt ist.

Kommt nun Round Robin als Loadbalancing-Mechanismus zum Einsatz, ist alles kein Problem, solange der Server ein Zertifikat bietet, das zum FQHN aus der URI passt - bei einem Wildcard-Zertifikat wäre das gegeben. Auch Host-übergreifende "Weiterleitungen" (Redirects) sind so lange kein Problem, wie der Ziel-Host wieder ein gültiges Zertifikat bereithält - bei einer Weiterleitung wird der Browser ja angewiesen, eine neue TCP-Verbindung zu Server xy zu eröffnen, bei der natürlich ein neuer SSL-Handshake stattfindet.