Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Wenn wir schon beim Thema sind

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn wir schon beim Thema sind

    Autor: not a huge fan 12.12.17 - 20:00

    Angenommen ich habe die Domain example.com und möchte sowohl
    https://example.com als auch
    https://www.example.com
    mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für jede Variante ein .well-known directory anzulegen

  2. Re: Wenn wir schon beim Thema sind

    Autor: RipClaw 12.12.17 - 20:35

    not a huge fan schrieb:
    --------------------------------------------------------------------------------
    > Angenommen ich habe die Domain example.com und möchte sowohl
    > example.com als auch
    > www.example.com
    > mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich
    > idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für
    > jede Variante ein .well-known directory anzulegen

    Das geht. Die Zertifikate von Let's Encrypt sind sogenannte SAN Zertifikate. Sie können bis zu 100 Namen enthalten. Entsprechend kannst du viele Domains / Subdomains mit einem Zertifikat abdecken. Diese werden zwar separat geprüft aber du kannst ein zentrales .well-known Verzeichnis einrichten das als Webroot angegeben wird.

  3. Re: Wenn wir schon beim Thema sind

    Autor: redmord 13.12.17 - 00:00

    Ich mach es wie folgt:

    server {
    listen 80;
    server_name www.domain.com domain.com;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;
    server_name www.domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;

    server_name domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    ....

    }

    jetzt kann man in der console einfach folgenden befehl machen (Debian 9, certbot 0.10.2):

    # certbot certonly --webroot -w /var/www/letsencrypt -d domain.com -d www.domain.com

    in der vhost noch schnell die links zu den Zertifikaten korrigieren. fertig. auto renew läuft auch. doch Vorsicht: Zertifikate sind nur 90 tage gültig und nginx lädt die nicht automatisch neu. also im cron von certbot noch 'nen hook für systemctl reload nginx ranhängen oder direkt einen eigenen cron dafür machen, dass nginx zyklisch neu lädt.
    leider kann man das bei certbot wohl nicht via config regeln ... zumindest bei version 0.10.2 nicht.

    von stand alone mit nginx stop und start halte ich persönlich nichts. denn dann ist bei versehentlicher fehlkonfiguration nicht einfach ein Zertifikat alt sondern der gesamte webserver läuft nicht.

    zu guter letzt noch folgendes durchgeackert:
    https://bettercrypto.org/static/applied-crypto-hardening.pdf
    https://www.safematix.com/security/nginx-ssl-labs-a/
    https://unix.stackexchange.com/a/264686

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  2. afb Application Services AG, München
  3. Tecan Software Competence Center GmbH, Mainz-Kastel
  4. Deloitte, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 61,99€
  3. (Blu-rays, 4K UHDs, Box-Sets und Steelbooks im Angebot)


Haben wir etwas übersehen?

E-Mail an news@golem.de


EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. EU-Netzpolitik Mit vollen Hosen in die App-ocalypse
  2. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  3. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

  1. Apple: Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein
    Apple
    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

    Apple hat es endlich geschafft, seinen smarten Lautsprecher Homepod fertig zu stellen: Ab dem 9. Februar 2018 soll das Gerät erhältlich sein. Allerdings kommt der Speaker vorerst nur in den USA, Großbritannien und Australien in den Handel, Deutschland soll im Frühjahr folgen.

  2. 860 Evo und 860 Pro: Samsungs SSDs sind flotter und sparsamer
    860 Evo und 860 Pro
    Samsungs SSDs sind flotter und sparsamer

    Mit der 860 Evo und der 860 Pro bringt Samsung neue SSDs in den Handel. Sie nutzen einen überarbeiteten Controller und einen aktuellen 3D-Flash-Speicher. Die Geschwindigkeit steigt leicht bei gesunkener Leistungsaufnahme. Und die Preise sind fair.

  3. Mozilla: Firefox Quantum wird mit Version 58 noch schneller
    Mozilla
    Firefox Quantum wird mit Version 58 noch schneller

    Für die aktuelle Version 58 von Firefox hat Hersteller Mozilla weitere Grundlagen verbessert, um den Browser zu beschleunigen. Außerdem ändert das Team die Profil-Struktur und weist auf Probleme mit altem Intel-Microcode hin.


  1. 16:14

  2. 16:00

  3. 15:58

  4. 15:35

  5. 15:26

  6. 14:55

  7. 14:13

  8. 13:27