xDSL.at

[Starvirus]

Hallo Leute!

Ich hab mal wieder eine Frage an euch zur Realisierung eines Themas von mir. Da ich Schritt für Schritt alle HTTP ablösen möchte und generell unverschlüsselte Verbindungen vermeiden will ist der Umstieg natürlich denkbar auf HTTPS.
So rein von den Zertifikaten her ist alles kein Thema jedoch hab ich das Problem das ich nur eine öffentliche IPv4 Adresse habe und so natürlich der Port 443 nur einmal vergeben werden kann.

Zur Zeit schaut es so aus:

Port 443 -> Service der nur mehr HTTPS macht -> Domain xy.at
Port 8080 -> Service könnte HTTPS jedoch noch HTTP -> Domain ab.at

Meine Frage ist nun wie kann ich nun beide auf HTTPS betreiben?
Zertifikate hab ich eigentlich nur kostenlose welche natürlich keine Multisans sind.

Eingefallen wären mir folgende Ansätze was naja nicht recht schön sind:

- IPv6 auflegen und dann darüber HTTPs routen. Nachteil wenn ein Provider das wieder nicht kann gehts nicht und hier bin ich selbst auf einen externen Anbieter gebunden.

- Anderen Port nutzen für https, ja wäre eine Möglichkeit aber zur Eingabe etwas blöd.

Wenn jemand eine Alternative einfällt wäre ich sehr Dankbar!

[dadaniel]

Beide Websites auf dem selben Port mit dem gleichen Service/Server-Dienst betreiben geht nicht? So tun es ja auch ziemlich alle Hoster.
Das Zertifikat hat mit der IP-Adresse und dem Port gar nichts zu tun, sondern nur mit dem Domainnamen.

[Starvirus]

Gleicher Server ist nicht möglich das wird vom Hersteller nicht unterstützt. Intern haben die Server 2 private IPs deswegen ist ein Forwarding nicht so einfach.
Zertifikat weiß ich schon das dies nicht auf die IP gilt sondern Domain. Hier wollte ich verdeutlichen das es keine Subdomain ist sondern 2 eigenständige.

[kleinem]

Also wenn es sich um irgendwelche Webservices (Webcam o.ä.) bei dir zuhause handelt, würde ich einen Apache als Reverse Proxy in eine DMZ hängen und 443 dorthin forwarden. Dort kannst du SSL terminieren und im Hintergrund ggf. ganz normal als HTTP weiterreichen.

Aber selbst wenn du irgendwelche "echten Webseiten" hostest sieht die Konfiguration auch nicht anders aus.
Du benötigst in beiden Fällen jedenfalls die vhost direktive. Darin kannst du dann pro Instanz/Hostname entweder
1) ein und daselbe Multisan Zertifikat angeben (welches du anscheinend nicht hast)
2) jedesmal das Zertifikat entsprechend dem vhost Hostnamen angeben.

Beispielconfig
https://www.digicert.com/ssl-support/ap ... ng-sni.htm

[Starvirus]

In Prinzip handelt es sich nur um Webservices. Als HTTP müsste er das nicht weiterreichen. Beißt sich das eh nicht weil dahinter eigentlich IIS läuft auf beiden Systemen?

[kleinem]

Nein, HTTP(S) ist ja nur das Protokoll. Welches Server Produkt dahinter steckt ist egal.
Es gibt auch andere Produkte die reverse Proxy spielen können. TMG von Microsoft zb. oder squid.


Hier noch eine anonymisierte Beispielconfig die ich hier produktiv im Einsatz habe.

Code: Alles auswählen

#
# Load Modules
#
<IfModule proxy.c>
        LoadModule      proxy_module    modules/mod_proxy.so
</IfModule>
<IfModule ssl.c>
        LoadModule      ssl_module      modules/mod_ssl.so
</IfModule>

#
# Enable SSL Proxy functionality
# Disable Forward Proxy functionality
# Enable Rewrite functionality
#
SSLProxyEngine on
ProxyRequests Off
RewriteEngine On

#
# Access permission config
#
<Proxy *>
        Order deny,allow
        Deny from all
        Allow from 0.0.0.0/0.0.0.0
        # modifiziert, nicht unbedingt notwendig
</Proxy>

#
# Alias for monitoring probe
#
RewriteRule ^/Kunde1/$   /sni/  [P,L]
RewriteRule ^/Kunde2/$   /sni/  [P,L]
RewriteRule ^/Kunde3/$   /sni/  [P,L]

#
# Reverse Proxy config for customers
#
<VirtualHost *:443>
        SSLEngine       on
        SSLProtocol All -SSLv2 -SSLv3
        SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!MEDIUM:!LOW:!ADH:!EXPORT40:!EXPORT56:-eNULL
        SSLCertificateFile <pfad public key>
        SSLCertificateKeyFile <pfad private key>

        ServerName              kunde1.monitoring.com

        # eigentliche Zielserver hier
        ProxyPass               /       https://monitor:monitor@server1/
        ProxyPassReverse        /       https://monitor:monitor@server1/

        RequestHeader    unset  Accept-Encoding,Authorization

</VirtualHost>