Reverse Proxy und verschiedene Wildcard Zertifikate

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MarcusM
Beiträge: 39
Registriert: Fr 30.06.2017, 14:09

Reverse Proxy und verschiedene Wildcard Zertifikate

Beitrag von MarcusM »

Hallo Forengemeinde :)

Gibt es eine Möglichkeit verschiedene Server über den Reverse Proxy erreichbar zu machen und dabei unterschiedliche Zertifikate zu verwenden?
In den Einstellungen des Reverse Proxy kann nur ein Zertifikate angegeben werden, wir möchten aber gerne verschiedene Dienste mit unterschiedlichen Domains verfügbar machen.

Multidomainzertifikat mit Wildcards scheint ja auch problematisch zu sein, zumindest konnte ich da nichts passendes finden.

Besteht ansonsten die Möglichkeit nur eine Redirection zum entsprechenden Server zu machen wenn die entsprechende Subdomain aufgerufen wurde? Dann könnte der Server die HTTPS Verschlüsselung übernehmen und dort kann man ja jeweils das passende Zertifikat hinterlegen.

Gruß,
Marcus

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo MarcusM,

der Reverse-Proxy kann nur mit einem Zertifikat betrieben werden. Es kann aber ein Multidomain-Wildcard-Zertifikat verwendet werden.

[quote][font=-apple-system, Helvetica Neue, Helvetica, sans-serif]Besteht ansonsten die Möglichkeit nur eine Redirection zum entsprechenden Server zu machen wenn die entsprechende Subdomain aufgerufen wurde? Dann könnte der Server die HTTPS Verschlüsselung übernehmen und dort kann man ja jeweils das passende Zertifikat hinterlegen.[/font][/quote]
Das wäre dann ja eine Portweiterleitung, also eine Variante ohne Reverse-Proxy.
(Die Verwendung von einer Portweiterleitung und dem Reverseproxy gleichzeitig ist nur auf verschiedenen Ports möglich, da sich die hinterlegten Regeln sonst überschneiden.)

Grüße
Svenja

MarcusM
Beiträge: 39
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Hallo und erst mal vielen Dank.
Portweiterleitung (Destination NAT) ist klar. Hier sollen ja aber mehrere Server über 443 erreichbar gemacht werden.
Ist das tatsächlich technisch bedingt? 
Beim anlegen einer neuen Servergruppe, zb über den Reverse-Proxy Assistent, wird an einer Stelle nach dem zu verwendenden SSL Zertifikat gefragt - obwohl dieses ja schon zentral im Reverse Proxy eingestellt ist. Stellt man dort ein anderes ein, wird auch das unter Einstellungen umgestellt. Ich habe mich nur gefragt warum man an dieser Stelle überhaupt noch mal das Zertifikat auswählen kann?

Wenn man sich mal löst von den sonstigen Funktionen des Reverse Proxy, wäre eine Anwendung die die angesprochene Subdomain auswertet und danach an den entsprechend hinterlegten Server weiterleitet doch theoretisch denkbar? 

Gruß,
Marcus

kennethj
Beiträge: 316
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo,

technisch ist es ohne Problme möglich, für verschiedene Server/Webseiten verschiedene Zertifikate einzubinden. Nur halt nicht auf der UTM (zumindestestens nicht über das Webinterface, über Templates geht da bestimmt was), zumal bis vor kurzen der Squid Proxy keinen SNI Suppport unterstützt hat.

Andere Reverse Proxy wie zu zb. nginx, HAProxy oder Traefik können das zum Beispiel. Allerings arbeiten diese technisch auch anders als der Squid.

Zum Thema Zertifikat und Assistent: Der Assistent geht davon aus, dass der Reverse Proxy noch nicht konfiguriert wurde.

Gruß

Ludger
Beiträge: 14
Registriert: Do 24.03.2016, 17:40

Beitrag von Ludger »

ja, gerade im Zeitalter knapper IP4 Adressen sollte das imho schnell Einzug in das Webinterface bekommen.
Idealerweise mit direkter Unterstützung von LetsEncrypt.

kennethj
Beiträge: 316
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo,

Let's Encrypt wird zu einer sehr hohen Wahrscheinlichkeit nicht implementiert. (Trotzdem funktioniert es über Umwege)

Der Reverse Proxy ist auch, so wie er momentan vorhanden ist, für einen Großteil aller Kunden einsetzbar. Erst wenn man speziellere Umgebunden hat, stößt man an dessen Grenzen.
Beispiel: Normaler Kunde mit einer externen IP und einen Domain Namen (aber diversen Subdomains) -> Wildcard Zertifikat oder Multidomain Zertifikar -> Profit! 

Deckt das Bedürfnis für ca 95% aller Kunden. Hat man speziellere Umgebunden mit vielen verschiedenen Domains und Zertifikaten sollte man sich evtl. überlegen einen extra Reverse Proxy zu implementieren (oder halt am Template rumspielen, auf eigene Gefahr).

Und gegen die knappen IPv4 Adressen gibt es IPv6 ;)

Gruß

Antworten