Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Wenn wir schon beim Thema sind

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn wir schon beim Thema sind

    Autor: not a huge fan 12.12.17 - 20:00

    Angenommen ich habe die Domain example.com und möchte sowohl
    https://example.com als auch
    https://www.example.com
    mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für jede Variante ein .well-known directory anzulegen

  2. Re: Wenn wir schon beim Thema sind

    Autor: RipClaw 12.12.17 - 20:35

    not a huge fan schrieb:
    --------------------------------------------------------------------------------
    > Angenommen ich habe die Domain example.com und möchte sowohl
    > example.com als auch
    > www.example.com
    > mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich
    > idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für
    > jede Variante ein .well-known directory anzulegen

    Das geht. Die Zertifikate von Let's Encrypt sind sogenannte SAN Zertifikate. Sie können bis zu 100 Namen enthalten. Entsprechend kannst du viele Domains / Subdomains mit einem Zertifikat abdecken. Diese werden zwar separat geprüft aber du kannst ein zentrales .well-known Verzeichnis einrichten das als Webroot angegeben wird.

  3. Re: Wenn wir schon beim Thema sind

    Autor: redmord 13.12.17 - 00:00

    Ich mach es wie folgt:

    server {
    listen 80;
    server_name www.domain.com domain.com;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;
    server_name www.domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;

    server_name domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    ....

    }

    jetzt kann man in der console einfach folgenden befehl machen (Debian 9, certbot 0.10.2):

    # certbot certonly --webroot -w /var/www/letsencrypt -d domain.com -d www.domain.com

    in der vhost noch schnell die links zu den Zertifikaten korrigieren. fertig. auto renew läuft auch. doch Vorsicht: Zertifikate sind nur 90 tage gültig und nginx lädt die nicht automatisch neu. also im cron von certbot noch 'nen hook für systemctl reload nginx ranhängen oder direkt einen eigenen cron dafür machen, dass nginx zyklisch neu lädt.
    leider kann man das bei certbot wohl nicht via config regeln ... zumindest bei version 0.10.2 nicht.

    von stand alone mit nginx stop und start halte ich persönlich nichts. denn dann ist bei versehentlicher fehlkonfiguration nicht einfach ein Zertifikat alt sondern der gesamte webserver läuft nicht.

    zu guter letzt noch folgendes durchgeackert:
    https://bettercrypto.org/static/applied-crypto-hardening.pdf
    https://www.safematix.com/security/nginx-ssl-labs-a/
    https://unix.stackexchange.com/a/264686

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. 50Hertz Transmission GmbH, Berlin
  2. ElringKlinger AG, Dettingen an der Erms
  3. JOB AG Industrial Service GmbH, Baunatal
  4. Sky Deutschland GmbH, Unterföhring bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 199€ (Vergleichspreis 265,99€)
  2. 269€ (Vergleichspreis 319€)HP Pavilion 32
  3. 3,82€


Haben wir etwas übersehen?

E-Mail an news@golem.de


PC Building Simulator im Test: Wenn's doch nur in der Realität so einfach wäre
PC Building Simulator im Test
Wenn's doch nur in der Realität so einfach wäre
  1. Dell Neue Optiplex-Systeme in drei Größen und mit Dual-GPUs
  2. Patterson und Hennessy ACM zeichnet RISC-Entwickler aus
  3. Airtop2 Inferno Compulab kühlt GTX 1080 und i7-7700K passiv

Hyundai Ioniq im Test: Mit Hartmut in der Sauna
Hyundai Ioniq im Test
Mit Hartmut in der Sauna
  1. Byton Maos Staatslimousine soll zum Elektroauto werden
  2. ISO 15118 Elektroautos ohne Karte oder App laden
  3. MW Motors Elektroauto im Retro-Look mit Radnabenmotoren

P20 Pro im Hands on: Huawei erhöht die Anzahl der Kameras - und den Preis
P20 Pro im Hands on
Huawei erhöht die Anzahl der Kameras - und den Preis
  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. P20 Pro im Kameratest Huaweis Dreifach-Kamera schlägt die Konkurrenz
  3. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen

  1. Quartalszahlen: AMDs Umsatz bei CPUs verdoppelt sich
    Quartalszahlen
    AMDs Umsatz bei CPUs verdoppelt sich

    Weil sich die Ryzen- und Vega-Chips gut verkaufen, macht AMD den doppelten Umsatz in dieser Sparte. Der Gesamtumsatz steigt um über ein Drittel, der Gewinn fällt wieder hoch aus. Das Konsolengeschäft aber verliert.

  2. Quartalsbericht: Facebook macht fast 5 Milliarden US-Dollar Gewinn
    Quartalsbericht
    Facebook macht fast 5 Milliarden US-Dollar Gewinn

    Facebook kann ein weiteres Rekordwachstum bei Gewinn und Umsatz melden. Der Skandal um die Weitergabe von Nutzerdaten an die Firma Cambridge Analytica fällt praktisch noch nicht in den Berichtszeitraum.

  3. Schellenberger Wald: Unitymedia baut Glasfaser in Essener Stadtteil
    Schellenberger Wald
    Unitymedia baut Glasfaser in Essener Stadtteil

    Kabelnetzbetreiber bauen ihr Netz auch aus. So erschließt Unitymedia einen unterversorgten Stadtteil in Essen mitten im Stadtwald mit FTTB (Fiber To The Building).


  1. 00:02

  2. 22:36

  3. 19:21

  4. 18:35

  5. 17:55

  6. 17:35

  7. 17:20

  8. 17:00