neo67
Goto Top

Ein SSl Zertifikat für 2 Server (Hot-Stand-by)?

Ein Hot-Stand-By System mit 2 Servern soll ein offizielles Zertifikat bekommen

Hallo,

wie regelt man das?
Wir haben zwei Tomcat Server mit 2 abgleichenden Oracle-DB und binärabgleich des Platteninhaltes, die geswicht werden. Also immer nur einer ist "oben".
Wie kann ich ein Zertifikat zwei verschienden IP Adressen zuweisen? Gibt es für soche Anforderungen spezielle Zertifikate?

Danke für eine Idee!

STOPP!!! face-smile

Die ganze Sache verhält sich etwas anders. Hatte ne schlechte Info bekommen. Auf den beiden Systemen läuft noch ein virtueller Host mit einer anderen Domain mit. Und der Apache mag es wohl nicht. Der ersten Domain ein Zertifikat zu geben und einem virtuellen Host.
So verhält sich das!

Das ganze lieht wohl daran, dass Apache Virtual Hosts nur ungesichert bedienen kann. Es gibt wohl noch eine mod_rewrite Lösung, die aber wahrscheinlich an dem Switching scheitert.
Falls noch jemand eine Idee hat. Danke!

Gruß
Jürgen

Content-ID: 87138

Url: https://administrator.de/contentid/87138

Ausgedruckt am: 13.11.2024 um 11:11 Uhr

filippg
filippg 07.05.2008 um 21:13:22 Uhr
Goto Top
Hallo,

SSL-Zertifikate sind nicht an IP-Adressen oder bestimmte Server gebunden.

Ein SSL-Zertifikat enthält lediglich einen DNS-Namen. Vertraut man dem Zertifikat (geht also davon aus, dass es tatsächlich für den Besitzer des DNS-Namens ausgestellt wurde) kann man sich also sicher sein, mit www.meineBank.de zu sprechen, wenn man www.meineBank.de eingegeben hat (und vor allem auch, das niemand anderes "zuhören" kann).
Dabei hat deine Bank sicher deutlich mehr als nur einen Webserver, und jeder von ihren Servern hat eine eigene IP-Adresse.
Wie sich Apache hier verhält weiß ich nicht. Theoretisch denkbar wäre es, dass er das installieren von Zertifikaten nur dann zulässt, wenn der Name so lautet, wie er denkt, dass er heißt. Das wäre aber eigentlich völliger Unsinn, da ein Server mit internem Namen ganz anders heißen kann als mit externem.
Um nochmal konkret zu werden: Beim IIS kann man die Zertifikate einfach auf beliebig vielen Servern importieren und gut ist. Was in dem Zertifikat steht interessiert den IIS nicht (okay, wenn es abgelaufen ist meckert er glaube ich)

Filipp
Rafiki
Rafiki 07.05.2008 um 21:22:19 Uhr
Goto Top
Ein SSL Zertifikat ist quasi ein Ausweis in dem der Name von dem Webserver steht. Das ist unabhängig von der IP Adresse, die der DNS Server ermittelt.
Beide Webserver können das selbe Zertifikat, incl. private key, laden und die Webseite betreiben. Je nach dem welche IP Adresse der DNS Server zurück gibt wird dann der eine oder der andere Webserver verwendet.

Mit einem zusätzlichem Loadbalancer (Lastverteiler?) können sich dann beide Webserver, bzw. n-Webserver, den Besucherstrom teilen. Besonders gute Loadbalancer nehmen den Webservern sogar das SSL ver- und entschlüsseln ab.

Mit dem Apache kann ich dir leider nicht weiter helfen.

Eine ganz andere Idee wäre es die Webseite z.B. bei Akamai zu hosten. Damit wird eure Webseite von Akamai x-fach kopiert und um die Welt verteilt. Jeder Besucher wird mit dem Webserver verbunden der jeweils für diesen Besucher am besten zu erreichen ist.
http://www.akamai.com/html/solutions/dynamic_site_accelerator.html

Gruß Rafiki