Ich sollte dies vorwegnehmen, indem ich sage, dass ich keinerlei praktische Kenntnisse über SSL habe und diese spezielle Konfiguration besonders komplex erscheint. Ich habe folgende Situation: Ich betreibe 3 Websites für einen Kunden, jeweils eine Kopie auf 2 Linux-Rechnern. Der Kunde betreibt einen Hardware-Load Balancer zwischen seiner Firewall und den 2 Rechnern, um den Datenverkehr zwischen den 2 Rechnern zu verteilen. Derzeit sind alle Websites nur auf HTTP, jede Site hat ihre eigene IP-Adresse auf jedem Rechner und ist unter einer öffentlichen URL wie a.mysite.com, b.mysite.com und c.mysite.com verfügbar.
Der Kunde hat mich gebeten, alles auf HTTPS umzustellen und außerdem zu versuchen, das folgende Setup zu konfigurieren: Erstellen Sie eine neue Domäne (unter https).https://main.mysite.commithttps://main.mysite.com/a/mappng zu a.mysite.com,https://main.mysite.com/b/Mappng zu b.mysite.com usw.
Das Hauptziel besteht darin, alle drei Websites auf HTTPS umzustellen. Die Einheitlichkeit unter einer Domain ist ein „nice to have“. Der Kunde glaubt, dass Zertifikate teuer sind, oder?
Erstens weiß ich nichts über den Kauf von Zertifikaten, das Einrichten von SSL usw., daher wäre ich für Links zu einem Anfängerleitfaden zu HTTPS sehr dankbar. Eine ungefähre Vorstellung von den Zertifikatspreisen wäre auch nett.
Zweitens, da die Webserver-Software neu kompiliert werden muss, um unter SSL zu laufen, bin ich an Lösungen interessiert, die es mir ermöglichen, die Webserver-Software nicht zu ändern. Wäre dies ein Reverse-Proxy?
Drittens: Ist die Sache mit der „Vereinheitlichung unter einer Domäne“ überhaupt möglich?
Viertens, wie viele SSL-Zertifikate benötige ich in diesem Fall?
Prost!
Antwort1
Ein Multiple Domain (UCC) SSL-Zertifikat ist günstiger als das oft vorgeschlagene Wildcard-SSL. Es funktioniert nur für 5 Domainvarianten statt für eine unendliche Anzahl, die die Wildcard bietet, aber es kann eine Überlegung wert sein, wenn Ihre Anforderungen einfach sind.
In jedem Fall kann ein einzelnes SSL-Zertifikat Ihren Anforderungen gerecht werden. Nur der Preis und die zukünftige Flexibilität unterscheiden sich.
Antwort2
Zertifikate können so teuer oder so günstig sein, wie Sie möchten. Was Sie wahrscheinlich möchten, ist ein „Wildcard“-Zertifikat, das *.mysite.com zulässt. Wildcard-Zertifikate sind nicht so günstig wie Einzelplatzzertifikate, aber mit der Zeit werden sie günstiger als viele Einzelplatzzertifikate. Sie können auch mehrere Namen auf einem einzigen Zertifikat erhalten, aber das ist eine einmalige Sache, bei der ein Wildcard-Zertifikat jeden Namen unter dieser gemeinsamen Domänenwurzel zulässt.
Sie sagen nicht, welche Serversoftware Sie verwenden. Wenn Sie Apache verwenden, was ich aufgrund der Erwähnung von „recompile“ annehme, und es auf einer Unix-Version ausführen, versuchen Sie diesen Befehl:
httpd -t -D DUMP_MODULES | grep -i ssl
Wenn Sie eine Rückmeldung erhalten, dass SSL vorhanden ist, dann ist es tatsächlich vorhanden.
Wenn dies nicht der Fall ist, kann es möglicherweise dynamisch geladen werden. Die meisten Distributionen und Paketsysteme installieren SSL jedoch wahrscheinlich standardmäßig. So weit verbreitet ist das einfach.
Ich würde auch prüfen, wie alt Ihre Serversoftware ist. Ich verstehe, dass Sie nicht viel ändern möchten, aber ich denke, Sie werden ohne einen Reverse-Proxy, der zur Wartung dieser Site beiträgt, zufriedener sein.
Antwort3
Ich denke, Sie könnten dies entweder mit einem Platzhalterzertifikat (teuer) erfüllen:
- *.meinesite.com
Oder drei Zertifikate (nicht so teuer):
- main.mysite.com
- a.meinesite.com
- b.mysite.com
Sie sollten auch in der Lage sein, auf der Hauptseite eine URL-Umschreibregel zu erstellen, um Clients an die richtige Domäne zu senden:
Dieser Entwurf würde keine Änderung Ihrer Serverbereitstellung erfordern, sondern lediglich das Hinzufügen eines Zertifikats zu jeder Site sowie einer URL-Umschreibregel auf Ihrer Hauptsite.
Und vergessen Sie nicht, die Umleitungs-URL für die Neuzuordnung von http zu https hinzuzufügen: