Best Practice wenn die IP Adressen knapp werden ?

[fw114]

Also im Moment ist alles so, dass jedes Web seine eigene Public IP Adresse hat.

Nun kann man das ja straffen und z.B. die Websever alles über eine IP laufen lassen.
Da ich das Thema so über die Jahre gar nicht angegangen bin, wie ist das heute mit SSL ?
Das Thema SNI is da irgendwie an mir vorbeigegangen und kommt auf jetzt auf mich zu.

Wie habt ihr das bei euren configs gehandhabt ? Gibt es da Best Practice für ISPconfig?

VG

 

[michelangelo]

SNI läuft seit Jahren, wenn nicht gar gefühlt Jahrzehnte, ohne Probleme mit z.B. Apache oder Nginx und auch mit ISPConfig.

An den Configs ist eigentlich auch nichts zu machen, wenn man die Defaults von ISPConfig übernimmt.
Sofern Du keine hochgradig modifizierte Config mit ISPConfig fährst, wüsste ich nicht, warum es Probleme mit SNI geben sollte.

 

[fw114]

SNI läuft seit Jahren, wenn nicht gar gefühlt Jahrzehnte, ohne Probleme mit z.B. Apache oder Nginx und auch mit ISPConfig.

An den Configs ist eigentlich auch nichts zu machen, wenn man die Defaults von ISPConfig übernimmt.
Sofern Du keine hochgradig modifizierte Config mit ISPConfig fährst, wüsste ich nicht, warum es Probleme mit SNI geben sollte.

Danke für die Antwort.

Jetzt mal die Frage für Dummies:

Wenn ich eine bestehende Config habe, wäre es einfach so möglich die ganzen IP's durch eine zu ersetzen, die dann bei allen Domains in die Webseitenconfig und gut is ?
SSL certs wahrscheinlich neu, DNS dann auch bei allen Domains ein und die selbe IP und gut is ?

So einfach ? Oder wo wartet der Hammer ?

 

[michelangelo]

Ich kenne Dein Setup nicht, nehme aber mal an, dass Du keine modifizierte ISPConfig Konfiguration benutzt.
Da sollte es reichen, bei den Websites von der IP-Adresse auf das Sternchen (*) zu wechseln. Das wäre dann die Primär-IP des Servers. Vermutlich musst Du dann noch die DNS-Records Deiner Domains anpassen, damit diese auf die Primär-IP des Servers zeigen.

 

[fw114]

Nein , keine modifizierte config soweit.

wie ist das denn mit den Hostnamen ? Ich habe ja bisher für alles eine IP, musste mich damit also nicht befassen.

Sagen wir die Maschine auf der ISPconfig läuft heisst:

ispconf.meinhost.de

Was ist dann mit mail.meinhost.de, www.meinhost.de ? alles über CNAME oder ein neuer A im DNS für die gleiche IP ?

oder mit den anderen domains darauf ?
wie z.B.
www.meinhobby.de
www.familie.de

auch alles über CNAME oder ein neuer A im DNS für die gleiche IP ?
usw.
Ich schätze mal ja.

Wie läuft dann die SSL verwaltung hier ? Im speziellen über lets encrypt ?
Kann oder erstellt ISPconfig dann wildcard SSLs für diese Domains? Was in meinen Augen ja Sinn machen würde.

 

[fw114]

Ach kommt schon Leute. Ich möchte doch nur die Sicherheit haben.
Grundsätzlich weiß ich ja wie es geht.

Nur manchmal steht man sich eben unsicher selber im Weg.

 

[michelangelo]

Versuche logisch an die Sache ran zu gehen, vorallem, wenn Du schreibst, dass du ja grundsätzlich eigentlich ja auch weißt, wie Du vorgehen musst.

Wegen deiner Hosts kann ich keine reale Aussage machen. Wie auch, ich weiß ja nicht welche IP-Adressen Du da hinterlegt hast.

CNAMES zeigen auf andere Host-Adressen. Eine IP-Adresse kann man da nicht hinterlegen.
Prinzipiell kann man existierende CNAMES belassen und ändert halt nur die A/AAAA Records.

Also: Schau einfach nach, auf welche IP-Adressen diese Hosts/Domains auflösen und passe diese ggf. auf die des Servers an. Grundsätzlich wäre es auch sinnvoll die TTL, bevor Du die eigentliche Änderungen durchführst, entsprechend niedrig einzustellen. Irgendeine TTL zwischen 300 und 3600 wäre hier empfehlenswert und dokumentiere am besten auch den derzeitigen Ist-Zustand, falls Du irgendwas rückgängig machen musst.

Eventuell musst Du noch ein Häkchen bei "HTTP NameVirtualHost" für den Server machen. Zu finden ist dies unter System -> Server IP Adressen -> <IP/Host auswählen>

Ansonsten ist eigentlich nichts mehr zu machen.