[nginx] HTTP --> HTTPS Rewrite - Ich will SSL :)

FirstS0ul

New Member
Moin zusammen,

ich möchte meinen Server auf SSL umstellen. Das betrifft logischerweise nur die Webdienste.
Sicherheit schadet nie. Besonders wenn man eine Cloud und WebMail Dienste hat :)

Ich habe einen vServer mit zwei Domains.
Ich würde gern beide Domains mit SSL Zertifikaten ausstatten.
Wie das funktioniert konnte ich über das ISPConfig Handbuch herausfinden. Ein selbsterstelltes Zertifkat klappt schonmal.
Jetzt würde ich gern jeden HTTP Request auf HTTPS umleiten, so das die Benutzer immer auf die verschlüsselte Umgebung kommen.

Wie kann ich das lösen?

PS: Ich würde für den anfang mir ein kostenloses Zertifikat bei startssl besorgen. Oder kennt ihr günstige (bessere) alternativen.
 

FirstS0ul

New Member
ok danke!
Ich gehen davon aus, dass ich das auch bei jeder Subdomain eintragen muss?
also z.B:
Code:
if ($scheme != "https") {
rewrite ^ https://cloud.meineurl.tld$request_uri? permanent;
}
 

FirstS0ul

New Member
Info für alle:
startssl ist zwar ganz nett, aber leider nur für eine Domain. Subdomains laufen wieder nicht damit. Schade.
 

nowayback

Well-Known Member
Info für alle:
startssl ist zwar ganz nett, aber leider nur für eine Domain. Subdomains laufen wieder nicht damit. Schade.
doch mit class 2 validierung

Das ist nicht korrekt. Du zahlst nur die Validierung für Class 2 (59,90$) und kannst danach soviele Wildcardzertifikate und Subdomainzertifikate beantragen wie du willst, solang die Domains dir gehören - und zwar alle gratis - für die Dauer von einem Jahr
 

FirstS0ul

New Member
doch mit class 2 validierung


Das ist nicht korrekt. Du zahlst nur die Validierung für Class 2 (59,90$) und kannst danach soviele Wildcardzertifikate und Subdomainzertifikate beantragen wie du willst, solang die Domains dir gehören - und zwar alle gratis - für die Dauer von einem Jahr

Sogar für 2 Jahre. Das ist der große Vorteil und das Angebot werde ich wohl warnehmen.
Du zahlt per Vaildation und das ist alle 2 Jahre :)
 

nowayback

Well-Known Member
Sogar für 2 Jahre. Das ist der große Vorteil und das Angebot werde ich wohl warnehmen.
Du zahlt per Vaildation und das ist alle 2 Jahre :)
Wieder nicht korrekt. Es war schon Absicht von mir, wie ich das geschrieben hatte... aber ich erklär es dir gerne im Detail:
Du machst die Class 2 Validierung und kannst dir damit Zertifikate erstellen, die 2 Jahre gültig sind. Du kannst dir aber die Zertifikate nur bis zu 350 Tage nach der Validierung erstellen. Solltest du danach ein weiteres Wildcard oder Subdomainzertifikat benötigen, musst du dich erneut validieren. Für einfache Domains kannst du aber trotzdem problemlos ein Class 1 Zertifikat erstellen - wie gehabt.
 

nowayback

Well-Known Member

FirstS0ul

New Member
Achso. Okay. Danke. Würde aber für mich reichen. Da in nächster Zeit keine neuen Domains dazukommen. Es bleibt bei den beidne Maindomains. Ich erstelle ja ein Wildcard Zertifikat so kann ich alle Subdomains abdecken, da ich ja nicht für jede Domain ein Zertifikat anlege.
 

nowayback

Well-Known Member
das ist korrekt... dann kann ich dir nur raten nach 349 Tagen alle Zertifikate neu zu erstellen, so kannst du mit 1x Validierung Zertifikate mit insgesamt 2 Jahre + 349 Tage nutzen :p
 

nowayback

Well-Known Member
ja... der Trick ist dann (nach 349 Tagen oder wann auch immer du die erneuern willst) bei den wildcarddomains dann erst eine subdomain anzugeben und danach *. sonst müsstest du das "alte" erst zurückziehen und das kostet rund 25$ pro Zertifikat.
Diese Vorgehensweise stammt im Übrigen vom CA Master mit dem ich wegen ähnlichen Dingen in Kontakt stand.
 

JeGr

Member
Um kurz noch hier anzusetzen: Man kann bei StartSSL somit mit einer Class2 Validation nicht nur ein Wildcard Zertifikat erstellen, sondern auch ein SAN/Wildcard Zertifikat. Da StartSSL auf CSRs keinen großen Wert legt, sondern das in der WebGUI anlegen lässt, was du im Zertifikat haben willst, ist es sogar möglich bspw. solch ein Zertifikat zu erstellen:

*.domain.de, domain.de, *.sub.domain.de, *.domain2.de, domain2.de, *.dev.domain2.de, ...

Gerade wenn man einen einzigen Server mit mannigfaltigen eigenen Domains hat (die ja heute recht billig sind), und hier bspw. für Dev (sub-)Domains gleich mal vorsorgen möchte, ist das sehr schick. Und gerade SAN Zertifikate, also Zerts mit mehreren unterschiedlichen Domains im Zertifikat sind sonst sehr teuer.

Auch sehr praktisch nutzbar für bspw. das ISPConfig3 Feature "Website auto alias":

ISPConfig Server #1 bspw. hört auf: isp01.domain.net
ISPConfig Server #2 hört auf: isp02.domain.net
MX wird definiert als mta01/02.domain.net
DNS wird übernommen als dns01/02.domain.net
Eigentliche Webseite: www.domain.de (Abtrennung von .net für Serverdienste und .de für das eigentliche "Business")
Zusätzliche Webseite: www.domain2.de
AutoAlias Feature von ISPC3 für Hosting Kunden: c[client_id]w[website_id].alias.domain.net

Durch einbacken von:
domain.net, *.domain.net, *.alias.domain.net, *.domain.de, domain.de, *.domain2.de, domain2.de
hat man mit einer Ausgabe von 59$ ein Zertifikat, was alle Ansprüche abdeckt und man kann seine Dienstleistungen ordentlich aufziehen und separieren ohne auf SSL verzichten zu müssen. Pluspunkt: Die diversen Services von ISPConfig können dann auf Linux Ebene alle via Symlinks auf das gleiche Zertifikatspaket zeigen (Postfix, Dovecot, Courier, FTP, was immer ihr installiert habt) und wenn ihr das mal aktualisieren müsst, ist es gleich für alle Dienste wieder auf dem neuen Stand.

Grüße
-jens
 

FirstS0ul

New Member
Wow. Danke für den Tipp, dann lohnt sich das ja echt.

Ich nutze ISPConfig für mich auch nur als einfaches Werkzeug. Ich habe keine Kunden etc. ich verwalte nur zwei Webseiten die darauf laufen :) Also brauche ich "so einen Aufwand" wie du beschrieben hast nicht :)
 

JeGr

Member
> Also brauche ich "so einen Aufwand" wie du beschrieben hast nicht :)
Na klar, dann ist das natürlich weniger Aufwand, allerdings kann man auch für seine eigene Infrastruktur bestimmte Dinge gleich trennen oder ordentlich separieren, damit man damit wengier Ärger hat. Und wer weiß ob das nicht später doch mal größer wird und wächst. Aber gerade bspw. der konfigurierbare auto-alias ist ein nettes Feature wenn man einen Webspace schon einmal vorbereiten möchte, ohne dass man bereits eine Domain dafür in Planung hat. Und wenn man dann bereits ein passendes Wildcard Zertifikat am Start hat, dass diese Domain mit abdeckt - umso besser ;)
 

FirstS0ul

New Member
Ich habe nun mein Zertifikat... Scheinbar klappt das leider nicht mit dem Code...
Er will einfach nicht auf HTTPS umleiten.

Andere Tipps?
 

Werbung

Top