horstvogel
Goto Top

Lets encrypt Zertifikat intern verwenden, bearbeiten der hosts Datei

Schönen Sonntag,
ich würde gerne für meine internen Webserver auch mein lets encrypt Zertifikat verwenden.
Da habe ich einfach meine hosts Datei um 192.168.178.24 horstvogel.de erweitert, geht prima.
nun möchte ich aber noch einen zweiten internen Webserver (also andere IP Adresse) auch mit dem Zertifikat absichern, bzw. ich möchte extern auch weiterhin noch "horstvogel.de" erreichen.

Wie müsste ich das in der hosts Datei anpassen? Oder geht das überhaupt nicht, da horstvogel.de nur einer eindeutigen IP zugewiesen werden darf?

Danke!
der Horst

Content-Key: 333940

Url: https://administrator.de/contentid/333940

Printed on: May 19, 2024 at 05:05 o'clock

Member: BassFishFox
BassFishFox Apr 02, 2017 at 13:05:29 (UTC)
Goto Top
Hallo,

Lies Dir mal durch, wie die Namensaufloesung funktioniert mit Windows. Speziell die Reihenfolge der Abfragen.
https://de.wikipedia.org/wiki/Namensaufl%C3%B6sung

BFF
Member: wiesi200
wiesi200 Apr 02, 2017 at 13:39:58 (UTC)
Goto Top
Hallo,
du solltest wenn dann jedem Webserver einen eigenen Namen geben

Webserver 1
app.horstvogel.de -> 192.168.178.24

Webserver2
mail.horstvogel.de -> 192.168.178.24

Diese musst du dann auch von extern erreichbar machen, sonst hast du auch viel aufwand wenn du alle 90 Tage manuell das Zertifikat erneuern musst. Dann kannst du für jeden Webserver ein eigenes Zertifikat abrufen.

Kannst du eigentlich das nicht über einen Webserver abdecken? Währ einfacher.
Member: Sheogorath
Sheogorath Apr 02, 2017 at 14:08:36 (UTC)
Goto Top
Moin,

Diese musst du dann auch von extern erreichbar machen, sonst hast du auch viel aufwand wenn du alle 90 Tage manuell das Zertifikat erneuern musst.

Muss man nicht unbedingt. Dank DNS Challange ist es problemfrei möglich ein Zertifikat auch für interne Services zu bekommen, ohne dass die server von Außen erreichbar sein müssen. Protokoll Details findest du hier: https://ietf-wg-acme.github.io/acme/#rfc.section.8.4

Die wichtige Frage ist hier, welchen LE Client man denn zum erstellen des Zertifikats verwendet hat. Denn neben der EFF Implementierung Certbot gibt es ja genug andere die ggf. eben genau diese Art der ACME-Challenge beherrschen.

Ein Beispiel wäre acme.sh welches anders als Certbot ohne plugin DNS challenges mit diversen Anbietern händeln kann.

Gruß
Chris
Member: wiesi200
wiesi200 Apr 02, 2017 at 14:14:06 (UTC)
Goto Top
Dank, hab ich nicht gewusst.

war zwar bei mir bis jetzt noch nicht notwendig, aber gut zu wissen.
Member: horstvogel
horstvogel Apr 02, 2017 updated at 14:27:06 (UTC)
Goto Top
Ok,
danke für Eure Antworten. Das sprengt dann doch vielleicht meinen Rahmen.
Zertifikat möchte intern für zwei Webserver, daher dachte ich das man die Hosts Datei der internen PC einfach erweitern könnte um:
horstvogel.de/nextcloud und horstvogel.de/Apachetomcat..... diese würden dann auch die beiden physikalischen IP verweisen. Und schlussendlich horstvogel.de würde dann noch auf den externen Nextcloud Server verweisen können. Also dann doch für jede Kiste ist ein eigenes Zertifikat erforderlich oder man packt die beiden internen Kisten auf eine Maschine. Schade ich dachte das geht eventuell ohne viel Aufwand. Bzw. viel Aufwand ist natürlich aus meiner Sicht gemeint face-wink

Danke!!
Member: Herbrich19
Herbrich19 Apr 16, 2017 at 00:40:47 (UTC)
Goto Top
Hallo, was spricht gegen ein SAN Zertifikat??

Gruß an die IT-Welt,
J Herbrich