7
Hauptdomain ohne SSL, Subdomains (ausgewählte) mit - Apache, Debian
Hauptdomain soll über https nicht erreichbar sein, Subdomains schon...
Hallo zusammen!
Ich habe nun einige Foren durch, aber mein "Hauptproblem", was ich habe, ist leider noch nicht geklärt.
Es geht um das Thema https, also SSL beim Apache2.
a). Ist-Zustand:
https://domain.tld ist erreichbar, habe in den VirtualHosts ein Redirect auf http gemacht (Zertifikat muss erst akzeptiert werden, da kein öffentliches)
https://subdomain1.domain.tld ist erreichbar als https, hier ists gut und ok
http://subdomain2.domain.tld ist erreichbar als http, ist auch ok
b). Soll-Zustand:
https://domain.tld soll erst gar nicht erreichbar sein, am besten ne Standard-Browser-Meldung, dass es die Seite nicht gibt (es soll kein Zertifikat akzeptiert werden müssen)
https://subdomain1.domain.tld soll weiterhin mit https laufen
http://subdomain2.domain.tld soll weiterhin mit http laufen
c). Optionaler Soll-Zustand und mein eigentlich totaler Wunschzustand:
https://domain.tld soll direkt auf http umleiten ohne ein Zertifikat akzeptieren zu müssen
https://subdomain1.domain.tld soll weiterhin mit https laufen
http://subdomain2.domain.tld soll weiterhin mit http laufen
Ich denke, dass c) nicht möglich ist, da man leider wohl erst das Zertifikat bestätigen muss bevor man weitergeleitet wird.
Die Frage, die sich nun stellt:
1. Geht das?
2. Wie würde die VirtualHost-Config aussehen?
<VirtualHost *:443>
ServerName domain.tld
...
</VirtualHost>
Oder kann man bei VirtualHost *:80 gleich sagen, dass SSL hier nicht gehen soll? Wobei die Anfrage dann natürlich über 443 käme und die Regel eh nicht wirkt...
Falls ihr Fragen habt, fragt.
Ich hoffe und denke, dass ich alles Nennenswerte geschrieben habe. Falls nicht, dann sagt es bitte - da ich nicht unbedingt weiß womit es noch zusammen hängt.
Danke schonmal...
Gruß
André
Ich habe nun einige Foren durch, aber mein "Hauptproblem", was ich habe, ist leider noch nicht geklärt.
Es geht um das Thema https, also SSL beim Apache2.
a). Ist-Zustand:
https://domain.tld ist erreichbar, habe in den VirtualHosts ein Redirect auf http gemacht (Zertifikat muss erst akzeptiert werden, da kein öffentliches)
https://subdomain1.domain.tld ist erreichbar als https, hier ists gut und ok
http://subdomain2.domain.tld ist erreichbar als http, ist auch ok
b). Soll-Zustand:
https://domain.tld soll erst gar nicht erreichbar sein, am besten ne Standard-Browser-Meldung, dass es die Seite nicht gibt (es soll kein Zertifikat akzeptiert werden müssen)
https://subdomain1.domain.tld soll weiterhin mit https laufen
http://subdomain2.domain.tld soll weiterhin mit http laufen
c). Optionaler Soll-Zustand und mein eigentlich totaler Wunschzustand:
https://domain.tld soll direkt auf http umleiten ohne ein Zertifikat akzeptieren zu müssen
https://subdomain1.domain.tld soll weiterhin mit https laufen
http://subdomain2.domain.tld soll weiterhin mit http laufen
Ich denke, dass c) nicht möglich ist, da man leider wohl erst das Zertifikat bestätigen muss bevor man weitergeleitet wird.
Die Frage, die sich nun stellt:
1. Geht das?
2. Wie würde die VirtualHost-Config aussehen?
<VirtualHost *:443>
ServerName domain.tld
...
</VirtualHost>
Oder kann man bei VirtualHost *:80 gleich sagen, dass SSL hier nicht gehen soll? Wobei die Anfrage dann natürlich über 443 käme und die Regel eh nicht wirkt...
Falls ihr Fragen habt, fragt.
Ich hoffe und denke, dass ich alles Nennenswerte geschrieben habe. Falls nicht, dann sagt es bitte - da ich nicht unbedingt weiß womit es noch zusammen hängt.
Danke schonmal...
Gruß
André
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138423
Url: https://administrator.de/contentid/138423
Printed on: April 19, 2024 at 11:04 o'clock
7 Comments
Latest comment
b) ist nicht möglich, wenn dein Server nicht mehrere IP-Adressen hat.
c) ist nur möglich wenn dein Server mehrere IP-Adressen hat UND du ein zusätzliches Zertifikat kaufst.
c) ist nur möglich wenn dein Server mehrere IP-Adressen hat UND du ein zusätzliches Zertifikat kaufst.
Danke für die schnelle und promte Beantwortung!
Dann stell ich doch gleich mal 2 Abschlussfragen:
1.) Wie macht man das denn Allgemein im privaten Bereich (ohne Zertifikatskauf)? Was konfiguriert man da normalerweise? Nen Redirect wie ich es habe?
2.) Wenn ich mir eine zusätzliche IP-Adresse einrichten lasse, dann sieht das ja so aus: (als Beispiel)
10.1.0.1 = domain.tld
10.1.0.2 = subdomain.tld
Anfragen kommen dann ja, da der DNS-Records so gelenkt ist, immer auf die 10.1.0.1. Rafft der Apache dann bei einer Sub-Domain, dass er die andere IP nehmen muss?
Oder müssen die DNS Records geändert werden? Wenn ja, wie?
Danke und Gruß
André
Dann stell ich doch gleich mal 2 Abschlussfragen:
1.) Wie macht man das denn Allgemein im privaten Bereich (ohne Zertifikatskauf)? Was konfiguriert man da normalerweise? Nen Redirect wie ich es habe?
2.) Wenn ich mir eine zusätzliche IP-Adresse einrichten lasse, dann sieht das ja so aus: (als Beispiel)
10.1.0.1 = domain.tld
10.1.0.2 = subdomain.tld
Anfragen kommen dann ja, da der DNS-Records so gelenkt ist, immer auf die 10.1.0.1. Rafft der Apache dann bei einer Sub-Domain, dass er die andere IP nehmen muss?
Oder müssen die DNS Records geändert werden? Wenn ja, wie?
Danke und Gruß
André
@dog
aber ein WILDCARD-Zertifikat würde Abhilfe schaffen. Wir haben ein solches am Laufen und funktioniert ohne Probleme. Ist natürlich eine Frage ob es sich rechnet...
Grüße,
Dani
aber ein WILDCARD-Zertifikat würde Abhilfe schaffen. Wir haben ein solches am Laufen und funktioniert ohne Probleme. Ist natürlich eine Frage ob es sich rechnet...
Grüße,
Dani
Eben, aufgrund des enormen Aufpreises habe ich es einfach mal rausfallen lassen 
Ists denn richtig, dass....
... man auf eine IP nur 1 Zertifikat binden kann
(also man nur bei einem SSL-VirtualHost von (z. B.) 3 ein Zertifikat hinzufügen kann, bzw. es dann funktioniert)
... der Apache als Default VirtualHost für Port 443 den ersten Eintrag nimmt?
... man auf eine IP nur 1 Zertifikat binden kann
(also man nur bei einem SSL-VirtualHost von (z. B.) 3 ein Zertifikat hinzufügen kann, bzw. es dann funktioniert)
... der Apache als Default VirtualHost für Port 443 den ersten Eintrag nimmt?
man auf eine IP nur 1 Zertifikat binden kann
Normalweiße schon....höchstens man hat ein WILDCARD-Zertifikat.
Danke!
Jetzt interessiert mich nur noch zweiteres!
Jetzt interessiert mich nur noch zweiteres!
