mimemmm
Goto Top

Apache viele virtual hosts - nur eine IP: SSL

Hallo,

mit Hilfe der "virtual hosts" Funktion, ist es möglich, mehrere Domains unter einer IP zu betreiben. Soweit ich weiß, ist es für SSL(https) nicht _zwingend_ erforderlich, dass jede Domain eine eigene IP hat.(Bindung an eine Domain reicht aus)

Eine mir bekannte Möglichkeit, ist mit der Apache-Erweiterung SNI. Diese hat jedoch einige Nachteile. Aus diesem Grund suche ich nach einem anderen Weg.

Ich weiß von einigen Hostern, dass sie Webspaces ebenfalls mittels shared hosting anbieten. Also ein Server mit einer IP und sehr vielen Webspaces. Einige Hoster verkaufen für diese Webspaces auch SSL-Zertifikate für 5€ oder mehr im Monat.

Wie machen die das?

SNI kommt bei denen nachweislich nicht zum Einsatz. Gibt es für die 5€ einfach "heimlich" eine statische IP dazu oder hat der ganze Server einfach ein "Monster-Zertifikat", das für jede gehostete Domain gilt(Der Hoster ist selber CA. Also theoretisch möglich) oder wie machen die das?

Danke

Content-ID: 275914

Url: https://administrator.de/forum/apache-viele-virtual-hosts-nur-eine-ip-ssl-275914.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Dani
Dani 28.06.2015 um 23:04:21 Uhr
Goto Top
Moin,
Wie machen die das?
Über einen Reverse Proxy. Die Domain lautet z.B. sslproxy.de und über /deinedomain wird deine Webseite eingebunden. Für sslproxy.de wird ein Zertfikat vom Hoster gekauft und somit ist alles in Ordnung.

Eine mir bekannte Möglichkeit, ist mit der Apache-Erweiterung SNI. Diese hat jedoch einige Nachteile.
Welche?


Gruß,
Dani
Mimemmm
Mimemmm 28.06.2015 aktualisiert um 23:36:17 Uhr
Goto Top
Zitat von @Dani:

Moin,
> Wie machen die das?
Über einen Reverse Proxy. Die Domain lautet z.B. sslproxy.de und über /deinedomain wird deine Webseite eingebunden.
Für sslproxy.de wird ein Zertfikat vom Hoster gekauft und somit ist alles in Ordnung.


Wie meinst du das? Kannst du das bitte nochmal genauer erklären?

Es ist so, dass der Hoster zum Webspace eine Domain mit anbietet. z.B. www.dani.de oder www.Mimemmm.com Diese Domain wird mit Hilfe eines Domain gebundenen "virtual hosts"(z.B. Apache Server) eine Verzeichnis auf einem Server zugeordnet. (Auf diesem liegen dann auch noch 100 andere Webseiten)

Diese Seite kann von einem normalen Nutzer im Browser per SSL aufgerufen werden. https://www.dani.de hierfür muss der Server der die Antwort gibt ja ein Zertifikat liefern, dass für www.dani.de gültig ist. Wie passt da nun der "Reverse Proxy" rein? Auch dieser muss ja ein für www.dani.de gültiges Zertifikat vorweisen können, sonst würde der Browser die Anfrage einfach abbrechen. Wie funktioniert das dann?

Welche?

Die Mitarbeiter des Deutschen Bundestags können dann mit ihren XP Rechnern nicht mehr mit dieser Webseite sicher... Oohhhhh
Dani
Dani 29.06.2015 um 00:27:04 Uhr
Goto Top
Meine groberklärte Variante ist eigentlich die meistgenutzte Variante.

Es ist so, dass der Hoster zum Webspace eine Domain mit anbietet.
Um welchen Hoster (namentlich) geht es bei dir?


Gruß,
Dani
93630
93630 29.06.2015 um 08:56:14 Uhr
Goto Top
Hab mir deinen Post nochmal durchgelesen. Was du einfach sagst ist: Es wird dann im Browser nicht https://dani.de sondern einfach https://sslproxy.de/dani aufgerufen. Korrekt?
LordGurke
Lösung LordGurke 29.06.2015 um 21:07:18 Uhr
Goto Top
Zitat von @Mimemmm:
SNI kommt bei denen nachweislich nicht zum Einsatz.

Wie hast du das denn nachgewiesen?
SNI wäre für mich jetzt die logischste Erklärung. Oder halt einen großen IP-Pool und die paar Kunden, die 5 € einwerfen bekommen dann halt ihre eigene IP.

@Dani:
Auch ein Reverse-Proxy arbeitet nicht magischer als der Apache selber - auch der Reverse-Proxy müsste SNI verwenden.
Dani
Dani 29.06.2015 um 22:16:05 Uhr
Goto Top
@LordGurke
Auch ein Reverse-Proxy arbeitet nicht magischer als der Apache selber - auch der Reverse-Proxy müsste SNI verwenden.
Muss er nicht. Du stellst ein SSL-Zertifikat für sslproxy.de aus. In der RP-Konfiguration gibtst du an, dass /test.de auf ProxyPass www.test.de zeigen soll - fertig.

auch der Reverse-Proxy müsste SNI verwenden.
Die Frage war unter anderem wie sowas bei den Hostern funktionieren kann.


Gruß,
Dani