SSL Zertifikat für 2 Domains in einer CSR

SSL Zertifikat für 2 Domains in einer CSR (13 Beiträge, 549 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich brauche für meinen Server ein SSL Zertifikat.

Anforderungen:

+ 2 Domains (http://www.domain-a.com / http://www.domain-b.com )
+ es sind zwei unterschiedliche Seiten auf dem selben server mit der selben IP
+ der Hoster unterstütz nur ein Zertifikat pro Server, also benötige ich ein SSL für beide in einer CSR
+ kein Root zugriff, aber SSH (damit auch den Key generiert)

Zuerst hatte ich startssl, aber das ist ja seit der Chrome sache nicht mehr zu gebrauchen. Aktuell ein Comodo multi domain ssl für ca. 20 Euro pro Jahr.

Aber das muss es doch günstiger geben

eine spur billiger: https://www.gogetssl.com/multi-ssl/multi-domain-ssl/

kannst du letsencrypt nutzen?

Da SSH-Zugriff besteht ist doch Let's Encrypt nutzbar, oder warum konkret einen Bezahl-Anbieter ins Auge fassen? Da Du StartSSL und Comodo als Kandidaten anführst, dürfte es Dir ja nicht um Reputation gehen.

Nein, geht bei Hosteurope nicht.

Ich habe aber gesehen, dass ich doch mehrere CSR hochladen kann. Die haben da was geändert in den letzten Monaten und somit ist der weg frei zu günstigeren SSLs.

Da gehts um keine Kundendaten, Kreditkartendaten und ähnliches. Das ist nur damit im Browser das Schloss grün wird.

schau dir mal cloudflare an und das dortige ssl zertifikat. funktioniert auch schon bei der free version. alles bissl tricky, aber es pfunziwunzifunztatatut.

Ist zwar nicht ganz so komfortabel wie am eigenen Webserver, grundsätzlich dürfte Let's Encrypt aber auch mit den WebHosting-Paketen möglich sein, wie nachfolgende Anleitung beschreibt:

https://sebastianbrosch.blog/2017/host-europe-ssl-zertifikate-von-lets-encrypt-einrichten/

Was du derzeit glaubst zu brauchen, ist ein CSR mit mehreren SAN - Subject Alternative Name(s). Sowas zu signieren lassen sich CAs aber auch heute noch etwas Geld kosten; sie nennen es dann gerne "Multi-Domain SSL", oder sonst einen technisch falschen Schwachfug.

Seit TLS 1.0 gibt es allerdings SNI, Server Name Indication - schnell erklaert sind das quasi "VHosts fuer TLS" (wobei der Server je nach Client-Anfrage unterschiedliche Certificate Chains mit unterschiedlichen, zugehoerigen Private Keys im Hintergrund ausliefern kann). Deswegen kannst du auch einfach eine Reihe von "ganz normalen" Zertifikanten fuer deine beiden Domains an deinem TLS-Listener konfigurieren. Fuer gewoehnlich sind das auch Zertifikate mit SAN, im Falle von Zertifikaten fuer Websites zumeist fuer "www.example.com" und "example.com". Technisch ist da also kein fundamentaler Unterschied zu einem "Multi-Domain"-Zertifikat, aber du wirst weniger hart (bzw. im Falle von LE gar nicht) abgezockt.

Wir haben bei GH SNI fuer HTTPS zum Beispiel auf dem Listener fuer die "gh.at"- und "gh.de"-Domains im Einsatz - beide A-Records loesen zur selben IP-Adresse auf, du kriegst aber Zertifikate mit anderen Subjects im TLS-Handshake. Kannst du dir auch selber genauer ansehen:


openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -connect gh.de:https <<<''

vs.


openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -connect gh.at:https <<<''

StartSSL-Signaturen wuerde ich an deiner Stelle heute nicht mehr einsetzen.

echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Das ist nur damit im Browser das Schloss grün wird.

Herrliche Aussage!

LG Mike

SNI verwenden wir auch, terminiert halt auf einem laodbalancer. Bislang keine Probleme,allerdings gehts auch je nach aufgerufenem hostname dahinter auf unterschiedliche Server. Und in unserem fall, sind da sogar Zertifikate unterschiedlicher CAs dahinter
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

SNI verwenden wir auch, terminiert halt auf einem laodbalancer.

Bei GH ja auch.

Und in unserem fall, sind da sogar Zertifikate unterschiedlicher CAs dahinter

Wie, ihr macht zwischen load balancer und Server noch einmal SSL?

Bei SNI ist es egal, wer die einzelnen Zertifikate ausgestellt hat, die sind ja im Grunde völlig unabhängig voneinander.

30.03.2017, 16:44 Uhr - Editiert von Lazy Jones, alte Version: hier

ja, auch zwischen Loadbalancer und Realserver gibts SSL.

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung