Zertifikat für mehrere (Sub-)Domänen

beinaendi · 13. Mrz 2018

Hallo zusammen,

ich bin stolzer Besitzer mehrerer Domänen und würde auf der DS gerne mehrere (verschlüsselte) Webseiten betreiben. Es ist ja problemlos möglich mehrere Zertifikate von Let's Encrypt einzurichten. Allerdings muss der entsprechende Dienst immer einem Zertifikat zugeordnet werden und die andere Webseite bzw. der Webbrowser bringt folglich die Fehlermeldung, dass das Zertifikat ungültig ist. Daher folgende Fragen, die ich aktuell noch nicht zufriedenstellend beantworten konnte:
1. Ist es überhaupt möglich die DS so einzustellen, dass mehrere Domänen verschlüsselte Webseiten anbieten können ohne, dass diese ungültig sind?
2. Falls 1. ja, wie?
3. Wie können mehrere Subdomänen einer Domäne über virtuelle Hosts betrieben werden? Wenn ich eine Subdomäne nämlich einem Zertifikat zuteile, kann ich dafür keinen virtuellen Host mehr anlegen. Die DS sagt, dass die Domäne bereits verwendet wird und zeigt somit auf denselben Pfad. Wenn ich sie aus dem Zertifikat raus nehme, bin ich wieder beim ursprünglich beschriebenen Problem.

Vielen Dank für eure Hilfe,
beinaendi

Anzeige · 13. Mrz 2018

Hallo beinaendi,

Bücher und Hardware zum Thema gibt es bei Amazon: Zertifikat für mehrere (Sub-)Domänen

Fusion · 13. Mrz 2018

1) ja
2) abhängig davon wie du die Domains eingerichtet hast kann man pro vHost, reverse Proxy ein Zertifikat zuweisen, oder ein Zertifikat welches mehrere Domainnamen enthält
3) kapiere ich nicht was du genau fabrizierst. Was verstehst du unter "Subdomain ein Zertifikat zuteilen"?
Normal hat man zuerst ein vHost oder Reverse proxy etc welcher dann bei den Zertifikaten unter Konfigurieren als Dienst auftaucht und dafür kann man auch Zertifikate holen.
Aber wie gesagt, ich verstehe nicht ganz, was du hier in welcher Reihenfolge wo veranstaltest.

Ansorg · 13. Mrz 2018

Ein LetsEncrypt für meinedomain.de beantragen und alle subdomains als Alias mitgeben sub1.meinedomain.de, sub2.meinedomain.de.
Dann dieses eine Zertifikat allen Anwendungen (vhost, reverse proxy) zuweisen.

So habe ich z.B. Owncloud als vHost unter cloud.meinedomain.de, den DSM Kalender mittels Reverse Proxy als calender.meinedomain.de, einen Service in einem Docker ebenfalls per Reverse Proxy auf dingsbums.meinedomain.de, etc. alle mit dem einen LE Zertifikat versehen

beinaendi · 13. Mrz 2018

Vielen Dank, ihr habt mir geholfen. Alles funktioniert nun wie gewünscht. Ich weiss nur noch nicht, wie ich https erzwingen kann (ohne .htaccess). Habt ihr vielleicht dazu noch einen Tipp?

Fusion · 13. Mrz 2018

Für DSM Dienste unter Systemsteuerung > Netzwerk > DSM Einstellungen

Für Webdienste via Apache oder Nginx geht es nur via .htaccess oder passender Direktive in der webserver-config, also via Konsole. GUI weg kenne ich keinen, außer vielleicht den 3rd party config file editor, den es aber unter Umständen nicht mehr gibt.

geimist · 13. Mrz 2018

Ist nicht dafür der Haken für HSTS in den vHost-Einstellungen?

Fusion · 13. Mrz 2018

Dachte ich auch eine Weile, bis ich mal die Beschreibung von HSTS nachgelesen habe.
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
HSTS soll nach dem ersten Aufrufen einer Seite per https verhindern, dass der Browser die Seite in einer festgelegten Zeit wieder per http aufruft. Üblicherweise 6-12 Monate. Von daher wird man die Seite nie mehr unwissentlich ohne https ansurfen, wenn man nicht den Browser wechselt, oder längere Zeit nicht auf der Seite war.

Vielleicht gibt es auch Browser-Konstellationen wo das "zufällig" auch als https redirect funktioniert.

geimist · 13. Mrz 2018

Stimmt - konnte ich im Inkognito-Fenster gerade nachvollziehen. Schade …

beinaendi · 13. Mrz 2018

HSTS hab ich schon länger erfolglos getestet. Folgender Code in einer .htaccess-Datei funktioniert perfekt:

Rich (BBCode):

RewriteEngine On
# This will enable the Rewrite capabilities

RewriteCond %{HTTPS} !=on
# This checks to make sure the connection is not already HTTPS

RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
# This rule will redirect users from their original location, to the same location but using HTTPS.
# i.e.  http://www.example.com/foo/ to https://www.example.com/foo/
# The leading slash is made optional so that this will work either in httpd.conf
# or .htaccess context

Fusion · 13. Mrz 2018

HSTS funktioniert wie es soll, ist halt nicht für redirects vorgesehen/gemacht.

.htaccess redirect funktioniert für Apache Backend (allgemein und vHost).
Für nginx muss man halt an die config oder vHost Einstellungen. Aber auf der Konsole (oder Aufgabenplaner)