horstvogel
Goto Top

Lets encrypt Zertifikat intern verwenden, bearbeiten der hosts Datei

Schönen Sonntag,
ich würde gerne für meine internen Webserver auch mein lets encrypt Zertifikat verwenden.
Da habe ich einfach meine hosts Datei um 192.168.178.24 horstvogel.de erweitert, geht prima.
nun möchte ich aber noch einen zweiten internen Webserver (also andere IP Adresse) auch mit dem Zertifikat absichern, bzw. ich möchte extern auch weiterhin noch "horstvogel.de" erreichen.

Wie müsste ich das in der hosts Datei anpassen? Oder geht das überhaupt nicht, da horstvogel.de nur einer eindeutigen IP zugewiesen werden darf?

Danke!
der Horst

Content-ID: 333940

Url: https://administrator.de/forum/lets-encrypt-zertifikat-intern-verwenden-bearbeiten-der-hosts-datei-333940.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

BassFishFox
BassFishFox 02.04.2017 um 15:05:29 Uhr
Goto Top
Hallo,

Lies Dir mal durch, wie die Namensaufloesung funktioniert mit Windows. Speziell die Reihenfolge der Abfragen.
https://de.wikipedia.org/wiki/Namensaufl%C3%B6sung

BFF
wiesi200
wiesi200 02.04.2017 um 15:39:58 Uhr
Goto Top
Hallo,
du solltest wenn dann jedem Webserver einen eigenen Namen geben

Webserver 1
app.horstvogel.de -> 192.168.178.24

Webserver2
mail.horstvogel.de -> 192.168.178.24

Diese musst du dann auch von extern erreichbar machen, sonst hast du auch viel aufwand wenn du alle 90 Tage manuell das Zertifikat erneuern musst. Dann kannst du für jeden Webserver ein eigenes Zertifikat abrufen.

Kannst du eigentlich das nicht über einen Webserver abdecken? Währ einfacher.
Sheogorath
Sheogorath 02.04.2017 um 16:08:36 Uhr
Goto Top
Moin,

Diese musst du dann auch von extern erreichbar machen, sonst hast du auch viel aufwand wenn du alle 90 Tage manuell das Zertifikat erneuern musst.

Muss man nicht unbedingt. Dank DNS Challange ist es problemfrei möglich ein Zertifikat auch für interne Services zu bekommen, ohne dass die server von Außen erreichbar sein müssen. Protokoll Details findest du hier: https://ietf-wg-acme.github.io/acme/#rfc.section.8.4

Die wichtige Frage ist hier, welchen LE Client man denn zum erstellen des Zertifikats verwendet hat. Denn neben der EFF Implementierung Certbot gibt es ja genug andere die ggf. eben genau diese Art der ACME-Challenge beherrschen.

Ein Beispiel wäre acme.sh welches anders als Certbot ohne plugin DNS challenges mit diversen Anbietern händeln kann.

Gruß
Chris
wiesi200
wiesi200 02.04.2017 um 16:14:06 Uhr
Goto Top
Dank, hab ich nicht gewusst.

war zwar bei mir bis jetzt noch nicht notwendig, aber gut zu wissen.
horstvogel
horstvogel 02.04.2017 aktualisiert um 16:27:06 Uhr
Goto Top
Ok,
danke für Eure Antworten. Das sprengt dann doch vielleicht meinen Rahmen.
Zertifikat möchte intern für zwei Webserver, daher dachte ich das man die Hosts Datei der internen PC einfach erweitern könnte um:
horstvogel.de/nextcloud und horstvogel.de/Apachetomcat..... diese würden dann auch die beiden physikalischen IP verweisen. Und schlussendlich horstvogel.de würde dann noch auf den externen Nextcloud Server verweisen können. Also dann doch für jede Kiste ist ein eigenes Zertifikat erforderlich oder man packt die beiden internen Kisten auf eine Maschine. Schade ich dachte das geht eventuell ohne viel Aufwand. Bzw. viel Aufwand ist natürlich aus meiner Sicht gemeint face-wink

Danke!!
Herbrich19
Herbrich19 16.04.2017 um 02:40:47 Uhr
Goto Top
Hallo, was spricht gegen ein SAN Zertifikat??

Gruß an die IT-Welt,
J Herbrich