Ich verwende Domino 9.0.1 FP5. Ich plane, mehrere Websites zu hosten, auf die alle über SSL zugegriffen werden kann. Ich möchte für alle Websites eine IP-Adresse verwenden. Ich werde ein Wildcard-Zertifikat für die Domäne erhalten, sodass jede Website dieselbe Domäne, aber eine andere Subdomäne hat.
Beispiel:
site1.example.com
site2.example.com
Im Domino Administrator erstelle ich Internet-Site-Dokumente für jede Site. In der Dokumentation steht, dass Sie bei Verwendung von SSL die IP-Adresse im Feld „Hostnamen oder Adressen, die dieser Site zugeordnet sind“ angeben müssen.
Ich verstehe die Gründe dafür – der Server kennt die Hostdomäne erst, wenn er den HTTP-Header entschlüsseln kann. In meinem Fall möchte ich jedoch, da ich vorhabe, ein Wildcard-Zertifikat zu verwenden, dem Server mitteilen können, dieses Zertifikat unabhängig vom Hostnamen zu verwenden. Gibt es eine Möglichkeit, dies zu tun?
Antwort1
Von demTechnotes:
Wenn Sie jedoch dieselbe IP-Adresse in mehr als einem Website-Dokument eingeben, wird nur die erste für SSL-Verbindungen verwendet, unabhängig davon, welcher Hostname im Webbrowser eingegeben wird.
Offensichtlich wird das, was Sie tun möchten, nicht nativ unterstützt. Es ist jedoch ganz einfach, ein selbst signiertes Wildcard-Zertifikat zu generieren und es zu testen, bevor Sie eines kaufen.
Antwort2
Da Sie ein Wildcard-Zertifikat verwenden möchten, ist es völlig egal, wo Sie Ihr SSL-Zertifikat ablegen. Domino verwendet immer das erste gefundene Zertifikat. Legen Sie Ihr Wildcard-Zertifikat einfach in das Standarddokument für die Domäne ein. Es wird dann die dort konfigurierte KRY-Datei für alle Websites verwenden und die Einstellungen für die anderen Site-Dokumente ignorieren. Ich habe das in der Vergangenheit so gemacht und es war kein Problem, solange die KRY-Datei gefunden werden konnte. Um 100 % sicher zu sein, legen Sie einfach dieselbe KRY-Datei in alle Ihre Internet-Sites ein und geben Sie die IP-Adresse nur in eines der Dokumente ein.
Edit: Übrigens: Hier in Deutschland bekommt man ein 3-Jahres-Wildcard-Zertifikat schon für 300€ ... selbst wenn das in deinem speziellen Szenario nicht funktionieren würde, kannst du es für so viele Dienste/Sites/Jobs nutzen, dass es sich fast immer lohnt, eines zu kaufen...
Antwort3
Leider besteht die einzige Möglichkeit, die ich hierfür gefunden habe, darin, den Datenverkehr zu entschlüsseln, bevor er den Domino-Server erreicht, und zwar über Haproxy, Nginx oder etwas Ähnliches.
Senden Sie den Datenverkehr nach der Entschlüsselung als HTTP an Domino. Dieses wählt anhand des Host-Headers die richtige Site aus.
Dadurch ergeben sich tatsächlich auch Leistungsvorteile, da Domino bei SSL/TLS nicht sehr effizient ist und sich die Antwortzeiten daher leicht verbessern sollten.