Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Let's Encrypt bringt Wildcard…

Wenn wir schon beim Thema sind

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn wir schon beim Thema sind

    Autor: not a huge fan 12.12.17 - 20:00

    Angenommen ich habe die Domain example.com und möchte sowohl
    https://example.com als auch
    https://www.example.com
    mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für jede Variante ein .well-known directory anzulegen

  2. Re: Wenn wir schon beim Thema sind

    Autor: RipClaw 12.12.17 - 20:35

    not a huge fan schrieb:
    --------------------------------------------------------------------------------
    > Angenommen ich habe die Domain example.com und möchte sowohl
    > example.com als auch
    > www.example.com
    > mit dem selben Cert verschlüssen. Geht das? Ich komme mir ziemlich
    > idiotisch dabei vor jeweils eine getrennte nginx conf anzulegen und für
    > jede Variante ein .well-known directory anzulegen

    Das geht. Die Zertifikate von Let's Encrypt sind sogenannte SAN Zertifikate. Sie können bis zu 100 Namen enthalten. Entsprechend kannst du viele Domains / Subdomains mit einem Zertifikat abdecken. Diese werden zwar separat geprüft aber du kannst ein zentrales .well-known Verzeichnis einrichten das als Webroot angegeben wird.

  3. Re: Wenn wir schon beim Thema sind

    Autor: redmord 13.12.17 - 00:00

    Ich mach es wie folgt:

    server {
    listen 80;
    server_name www.domain.com domain.com;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;
    server_name www.domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    return 301 https://domain.com$request_uri; # enforce https
    }

    server {
    listen 443 ssl http2;

    server_name domain.com;

    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ^~ /.well-known {
    root /var/www/letsencrypt;
    }

    ....

    }

    jetzt kann man in der console einfach folgenden befehl machen (Debian 9, certbot 0.10.2):

    # certbot certonly --webroot -w /var/www/letsencrypt -d domain.com -d www.domain.com

    in der vhost noch schnell die links zu den Zertifikaten korrigieren. fertig. auto renew läuft auch. doch Vorsicht: Zertifikate sind nur 90 tage gültig und nginx lädt die nicht automatisch neu. also im cron von certbot noch 'nen hook für systemctl reload nginx ranhängen oder direkt einen eigenen cron dafür machen, dass nginx zyklisch neu lädt.
    leider kann man das bei certbot wohl nicht via config regeln ... zumindest bei version 0.10.2 nicht.

    von stand alone mit nginx stop und start halte ich persönlich nichts. denn dann ist bei versehentlicher fehlkonfiguration nicht einfach ein Zertifikat alt sondern der gesamte webserver läuft nicht.

    zu guter letzt noch folgendes durchgeackert:
    https://bettercrypto.org/static/applied-crypto-hardening.pdf
    https://www.safematix.com/security/nginx-ssl-labs-a/
    https://unix.stackexchange.com/a/264686

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Otto Bihler Maschinenfabrik GmbH & Co.KG, Halblech
  2. sunhill technologies GmbH, Erlangen
  3. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  4. MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden Raum Memmingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 164,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

  1. VKU: Forderung nach Gutscheinen zum FTTH-Ausbau wird breiter
    VKU
    Forderung nach Gutscheinen zum FTTH-Ausbau wird breiter

    Drei Verbände schlagen Gutscheine für den Glasfaserausbau vor. Dabei ist auch der Verband kommunaler Unternehmen. Gefördert werden soll der Tiefbau mit 1.500 Euro, auch für Haushalte die keinen Vertag mit Telekombetreibern haben.

  2. Actionspiel: Crytek schaltet Multiplayerserver von Crysis ab
    Actionspiel
    Crytek schaltet Multiplayerserver von Crysis ab

    Nach fast elf Jahren ist Schluss: Crytek will Mitte Oktober die Multiplayerserver von Crysis abschalten. Der Grund: Es gibt nicht mehr genug Spieler für den Actiontitel.

  3. Künstliche Intelligenz: Vages wagen
    Künstliche Intelligenz
    Vages wagen

    Die Bundesregierung will Deutschland zum führenden Standort für künstliche Intelligenz machen. In ihrem Eckpunktepapier fehlen aber wichtige Details - und große Ideen.


  1. 19:19

  2. 16:53

  3. 16:44

  4. 16:41

  5. 16:05

  6. 15:29

  7. 15:18

  8. 14:12