Umstieg auf komplettes HTTPs

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Umstieg auf komplettes HTTPs

Beitragvon Starvirus » Di 27 Sep, 2016 11:34

Hallo Leute!

Ich hab mal wieder eine Frage an euch zur Realisierung eines Themas von mir. Da ich Schritt für Schritt alle HTTP ablösen möchte und generell unverschlüsselte Verbindungen vermeiden will ist der Umstieg natürlich denkbar auf HTTPS.
So rein von den Zertifikaten her ist alles kein Thema jedoch hab ich das Problem das ich nur eine öffentliche IPv4 Adresse habe und so natürlich der Port 443 nur einmal vergeben werden kann.

Zur Zeit schaut es so aus:

Port 443 -> Service der nur mehr HTTPS macht -> Domain xy.at
Port 8080 -> Service könnte HTTPS jedoch noch HTTP -> Domain ab.at

Meine Frage ist nun wie kann ich nun beide auf HTTPS betreiben?
Zertifikate hab ich eigentlich nur kostenlose welche natĂĽrlich keine Multisans sind.

Eingefallen wären mir folgende Ansätze was naja nicht recht schön sind:

- IPv6 auflegen und dann darĂĽber HTTPs routen. Nachteil wenn ein Provider das wieder nicht kann gehts nicht und hier bin ich selbst auf einen externen Anbieter gebunden.

- Anderen Port nutzen für https, ja wäre eine Möglichkeit aber zur Eingabe etwas blöd.

Wenn jemand eine Alternative einfällt wäre ich sehr Dankbar!
Bild
Starvirus
Profi-User
Profi-User
 
Beiträge: 1893
Registriert: Do 31 Jan, 2008 23:49
Wohnort: wollt ihr wieder wissen :P

Re: Umstieg auf komplettes HTTPs

Beitragvon dadaniel » Di 27 Sep, 2016 13:34

Beide Websites auf dem selben Port mit dem gleichen Service/Server-Dienst betreiben geht nicht? So tun es ja auch ziemlich alle Hoster.
Das Zertifikat hat mit der IP-Adresse und dem Port gar nichts zu tun, sondern nur mit dem Domainnamen.
A1 Internet S 40/10 Mbit
dadaniel
Board-User Level 1
Board-User Level 1
 
Beiträge: 632
Registriert: So 16 Jan, 2005 14:10
Wohnort: Graz-Umgebung

Re: Umstieg auf komplettes HTTPs

Beitragvon Starvirus » Di 27 Sep, 2016 13:44

Gleicher Server ist nicht möglich das wird vom Hersteller nicht unterstützt. Intern haben die Server 2 private IPs deswegen ist ein Forwarding nicht so einfach.
Zertifikat weiß ich schon das dies nicht auf die IP gilt sondern Domain. Hier wollte ich verdeutlichen das es keine Subdomain ist sondern 2 eigenständige.
Bild
Starvirus
Profi-User
Profi-User
 
Beiträge: 1893
Registriert: Do 31 Jan, 2008 23:49
Wohnort: wollt ihr wieder wissen :P

Re: Umstieg auf komplettes HTTPs

Beitragvon kleinem » Di 27 Sep, 2016 13:56

Also wenn es sich um irgendwelche Webservices (Webcam o.ä.) bei dir zuhause handelt, würde ich einen Apache als Reverse Proxy in eine DMZ hängen und 443 dorthin forwarden. Dort kannst du SSL terminieren und im Hintergrund ggf. ganz normal als HTTP weiterreichen.

Aber selbst wenn du irgendwelche "echten Webseiten" hostest sieht die Konfiguration auch nicht anders aus.
Du benötigst in beiden Fällen jedenfalls die vhost direktive. Darin kannst du dann pro Instanz/Hostname entweder
1) ein und daselbe Multisan Zertifikat angeben (welches du anscheinend nicht hast)
2) jedesmal das Zertifikat entsprechend dem vhost Hostnamen angeben.

Beispielconfig
https://www.digicert.com/ssl-support/ap ... ng-sni.htm
Verkaufe:
Cisco 861W - 60€
Cisco 877W - 40€
kleinem
Board-Mitglied
Board-Mitglied
 
Beiträge: 189
Registriert: Fr 16 Mär, 2007 18:09

Re: Umstieg auf komplettes HTTPs

Beitragvon Starvirus » Di 27 Sep, 2016 14:44

In Prinzip handelt es sich nur um Webservices. Als HTTP müsste er das nicht weiterreichen. Beißt sich das eh nicht weil dahinter eigentlich IIS läuft auf beiden Systemen?
Bild
Starvirus
Profi-User
Profi-User
 
Beiträge: 1893
Registriert: Do 31 Jan, 2008 23:49
Wohnort: wollt ihr wieder wissen :P

Re: Umstieg auf komplettes HTTPs

Beitragvon kleinem » Di 27 Sep, 2016 15:23

Nein, HTTP(S) ist ja nur das Protokoll. Welches Server Produkt dahinter steckt ist egal.
Es gibt auch andere Produkte die reverse Proxy spielen können. TMG von Microsoft zb. oder squid.


Hier noch eine anonymisierte Beispielconfig die ich hier produktiv im Einsatz habe.
Code: Alles auswählen
#
# Load Modules
#
<IfModule proxy.c>
        LoadModule      proxy_module    modules/mod_proxy.so
</IfModule>
<IfModule ssl.c>
        LoadModule      ssl_module      modules/mod_ssl.so
</IfModule>

#
# Enable SSL Proxy functionality
# Disable Forward Proxy functionality
# Enable Rewrite functionality
#
SSLProxyEngine on
ProxyRequests Off
RewriteEngine On

#
# Access permission config
#
<Proxy *>
        Order deny,allow
        Deny from all
        Allow from 0.0.0.0/0.0.0.0
        # modifiziert, nicht unbedingt notwendig
</Proxy>

#
# Alias for monitoring probe
#
RewriteRule ^/Kunde1/$   /sni/  [P,L]
RewriteRule ^/Kunde2/$   /sni/  [P,L]
RewriteRule ^/Kunde3/$   /sni/  [P,L]

#
# Reverse Proxy config for customers
#
<VirtualHost *:443>
        SSLEngine       on
        SSLProtocol All -SSLv2 -SSLv3
        SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!MEDIUM:!LOW:!ADH:!EXPORT40:!EXPORT56:-eNULL
        SSLCertificateFile <pfad public key>
        SSLCertificateKeyFile <pfad private key>

        ServerName              kunde1.monitoring.com

        # eigentliche Zielserver hier
        ProxyPass               /       https://monitor:monitor@server1/
        ProxyPassReverse        /       https://monitor:monitor@server1/

        RequestHeader    unset  Accept-Encoding,Authorization

</VirtualHost>
Verkaufe:
Cisco 861W - 60€
Cisco 877W - 40€
kleinem
Board-Mitglied
Board-Mitglied
 
Beiträge: 189
Registriert: Fr 16 Mär, 2007 18:09


ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: DotNetDotCom [Crawler], Yandex [Crawler] und 37 Gäste