Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Wenn wir schon beim Thema sind

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn wir schon beim Thema sind

    Autor: not a huge fan 12.12.17 - 20:00

    Angenommen ich habe die Domain example.com und möchte sowohl
    https://example.com als auch
    https://www.example.com
    mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für jede Variante ein .well-known directory anzulegen

  2. Re: Wenn wir schon beim Thema sind

    Autor: RipClaw 12.12.17 - 20:35

    not a huge fan schrieb:
    --------------------------------------------------------------------------------
    > Angenommen ich habe die Domain example.com und möchte sowohl
    > example.com als auch
    > www.example.com
    > mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich
    > idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für
    > jede Variante ein .well-known directory anzulegen

    Das geht. Die Zertifikate von Let's Encrypt sind sogenannte SAN Zertifikate. Sie können bis zu 100 Namen enthalten. Entsprechend kannst du viele Domains / Subdomains mit einem Zertifikat abdecken. Diese werden zwar separat geprüft aber du kannst ein zentrales .well-known Verzeichnis einrichten das als Webroot angegeben wird.

  3. Re: Wenn wir schon beim Thema sind

    Autor: redmord 13.12.17 - 00:00

    Ich mach es wie folgt:

    server {
    listen 80;
    server_name www.domain.com domain.com;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;
    server_name www.domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;

    server_name domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    ....

    }

    jetzt kann man in der console einfach folgenden befehl machen (Debian 9, certbot 0.10.2):

    # certbot certonly --webroot -w /var/www/letsencrypt -d domain.com -d www.domain.com

    in der vhost noch schnell die links zu den Zertifikaten korrigieren. fertig. auto renew läuft auch. doch Vorsicht: Zertifikate sind nur 90 tage gültig und nginx lädt die nicht automatisch neu. also im cron von certbot noch 'nen hook für systemctl reload nginx ranhängen oder direkt einen eigenen cron dafür machen, dass nginx zyklisch neu lädt.
    leider kann man das bei certbot wohl nicht via config regeln ... zumindest bei version 0.10.2 nicht.

    von stand alone mit nginx stop und start halte ich persönlich nichts. denn dann ist bei versehentlicher fehlkonfiguration nicht einfach ein Zertifikat alt sondern der gesamte webserver läuft nicht.

    zu guter letzt noch folgendes durchgeackert:
    https://bettercrypto.org/static/applied-crypto-hardening.pdf
    https://www.safematix.com/security/nginx-ssl-labs-a/
    https://unix.stackexchange.com/a/264686

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Wilken GmbH, Greven
  2. Coup Mobility GmbH, Berlin
  3. Rentschler Biopharma SE, Laupheim
  4. Volksbank Schnathorst eG, Hüllhorst

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 219,00€ im PCGH-Preisvergleich
  2. Für 150€ kaufen und 75€ sparen
  3. (heute u. a. Aerocool P7-C1 Pro 99,90€, Asus ROG-Notebook 949,00€, Logitech G903 Maus 104,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

  1. Vectoring: Rund 118.000 bekommen 100 MBit/s von der Telekom
    Vectoring
    Rund 118.000 bekommen 100 MBit/s von der Telekom

    Die Telekom kann wieder Erfolge beim Vectoring ausweisen. Zugleich entbrennt ein Streit darüber, wer überhaupt auf dem Land Breitband ausbaut.

  2. Windows 10: Retpoline-Patch gegen Spectre verbessert CPU-Leistung
    Windows 10
    Retpoline-Patch gegen Spectre verbessert CPU-Leistung

    In der kommenden Version von Windows 10 will Microsoft Retpoline gegen Spectre einführen. Das verlangsame das System nicht mehr so stark und bringe gerade auf älteren PCs eine spürbare Verbesserung. Allerdings dauert die Einführung noch ein wenig.

  3. Richard Stallman: GNU-Projekt bekommt Richtlinien für gute Kommunikation
    Richard Stallman
    GNU-Projekt bekommt Richtlinien für gute Kommunikation

    Ausgelöst durch die Diskussionen um den Code-of-Conduct in Linux und anderen Projekten erhält nun auch das GNU-Projekt Richtlinien zur Kommunikation. Strikte Vorschriften sollen aber explizit nicht gemacht werden, entschied Projektgründer Richard Stallman.


  1. 21:17

  2. 17:58

  3. 17:50

  4. 17:42

  5. 17:14

  6. 16:47

  7. 16:33

  8. 13:53