Ist ein Zugriff aufs Freetz-WebIf auch per HTTPS möglich?

[hermann72pb]

@RalfFriedl: Genau das meinte ich, hatte aber natürlich nicht so professionell ausformulliert, wie du es gemacht hast. Bin schließlich kein Profi in den Sachen, hatte mich damit nur ein bisschen wegen meinem Root-Server bei Strato auseinander gesetzt. Mein Fazit zu dem Zeitpunkt der Aufsetzung vom Server (vor etwa 2 Jahren) war, dass es leider nicht geht. Vor einem halben Jahr hatte ich auf dem Server diverse Sachen upgedatet und wieder mich etwas mit der Thematik vertraut. Leider wieder mit dem gleichen Ergebnis.
Von den Zertifikaten für mehrere Namen hatte ich aber noch nicht gehört. Kannst du bitte in zwei Sätzen erklären, was das für Zertifikate sind und ob man sie selbst erstellen/unterschreiben kann? Ein Paar englische Namen dafür würden mir bei meiner google-Suche auch weiter helfen (z.B. ob es "multiple name certificat" oder korrekt irgendwie anders heißt). Ist zwar hier etwas OT, hilft aber allgemeiner Information zum Thema weiter.

MfG

 

[RalfFriedl]

Zunächst einmal kann man jedes beliebige Zertifikat selbst erstellen, der einzige Nachteil ist, daß ein selbst erstelltes Zertifikat nicht von den verschiedenen Clients akzeptiert wird. Wenn man aber nur wenige im voraus bekannte Nutzer hat, kann man bei bei diesen ein selbst erstelltes Root-Zertifikat oder auch das konkret verwendete Zertifikat als vertrauenswürdig installieren.

Mir sind zwei Arten bekannt, Zertifikate für mehrere Namen zu verwenden. Eine ist, daß die verschiedenen Namen unter mehreren CN-Einträgen aufgeführt werden. Das sieht in openssl Schreibweise so aus:

# Kurzform
subject=/CN=host1/CN=host2/CN=host3/...
# Ausführliche Form
Subject: CN=host1, CN=host2, CN=host3, ...

Es gibt auch Anbieter, die halbwegs preiswert solche Zertifikate erstellen, die auch in den gängigen Browsern akzeptiert werden.

Eine andere Möglichkeit ist, die Hostnamen unter "X509v3 Subject Alternative Name" aufzulisten

# Kurzform
( Wird nicht mit ausgegeben)
# Ausführliche Form
            X509v3 Subject Alternative Name:
                DNS:host1, DNS:host2, DNS:host3

Für diese Form sind mir im Moment keine konkreten Anbieter und Preise bekannt. Ein Beispiel, wo das (zusammen mit SNI) verwendet wird, ist https://sni.velox.ch/.

Ein Sonderfall ist die Verwendung eines Namens in der Form "*.name.de" im Zertifikat. Dieses kann dann für www.name.de, test.name.de usw. verwendet werden, aber nicht für verschiedene Domains. Die Zertifizierungsgesellschften lassen sich aber auch so einen Stern gern teuer bezahlen.

 

[hermann72pb]

Danke für Exkurs. Das wird mich bestimmt schon weiter bringen.
Zu den selbstunterschriebenen Zertifikaten. Nee, so einfach mache ich es wiederum nicht. Ich hatte irgendwo eine gute Anleitung im Netz gefunden, wie man sich zunächst eine Zertifizierungsstelle erstellt (z.B. deine Hauptdomain, auf die der Root-Server bei Strato sowieso läuft, oder einfach auch einen "Firmennamen" oder was auch immer). Dieses Hauptzertifikat kannst du dann z.B. auf dem Hauptserver ablegen http://deinRootserver.de/RootCa
Alle deinen folgende Zertifikate (für virtual-Hosts, für Mailserver, Ftp, etc.) unterschreibst du dann mit diesem Elternzertifikat, der dann als Zertifizierungsstelle dient. Somit sind die Zertifikate schon nicht mehr selbstgezeichnet, sondern fremdgezeichnet und überleben die strenge Firefox-Prüfung schon etwas dauernhafter, als die selbstunterzeichnete. Meistens reicht es dann sie einmalig zu akzeptieren. Wenn man es aber bequemer machen will, gibt man dann
http://deinRootserver.de/RootCa
in seinem Browser an und bestätigt die Angabe, dass die "Zertifizierungsstelle" als vertrauenswürdig eingestufft werden sollte. Der Vorteil dieser Methode besteht darin, dass dann alle Kindzertifikate dieser Zertifizierungsstelle Marke Eigenbau automatisch akzeptiert werden.
Aber Geld zahlen für Zertifikate finde ich als verrückt. Ok, große Firmen können sich sowas leisten, aber keine Privatanwender oder Kleinunternehmer.

Edit: Aber wo ich dein Posting jetzt nochmal durchgelesen hatte, ist mir aufgefallen, dass du es wahrscheinlich auch als eine der Lösungen gemeint hast.

MfG

 

[RalfFriedl]

Ja, das ist das, was ich mit "selbst erstelltes Root-Zertifikat ... als vertrauenswürdig installieren" gemeint hatte.

Es ist auch das, was mit "selbst unterschrieben" gemeint ist. Es ist normal, daß die obersten Zertifikate selbst unterschrieben sind, und kein vernünftiger Client sollte ein Zertifikat für vertrauenswürdiger halten, nur weil von einem selbst unterschriebenen Root-Zertifikat bestätigt wird.

Daß Problem ist, daß nicht nur Du ein Root-Zertifikat für Deine Domains erstellen kannst, jeder andere kann das auch. Und ich würde auch nicht das Root-Zertifikat einer beliebigen Internet-Seite in den Browser importieren, nur damit dann alle deren Domains bei mir ohne Warnung angezeigt werden.

Auch die "bekannten" Root-Zertifikate sind normalerweise "selbst unterschrieben", es gibt also mehrere Wurzeln. Der einzige Unterschied zwischen Deinem Root-Zertifikat und dem der kommerziellen Anbieter ist der, daß Deines in der Standard-Konfiguration nicht im Browser enthalten ist.

Ein Root-Zertifikat ist übrigens ein ganz "normales" Zertifikat, bei dem aber das Kennzeichen gesetzt ist, daß es zur Bestätigung von anderen Zertifikaten verwendet werden kann. Dieses Kennzeichen ist bei den normalen Zertifikaten nicht gesetzt.