Hallo Forengemeinde
Gibt es eine Möglichkeit verschiedene Server über den Reverse Proxy erreichbar zu machen und dabei unterschiedliche Zertifikate zu verwenden?
In den Einstellungen des Reverse Proxy kann nur ein Zertifikate angegeben werden, wir möchten aber gerne verschiedene Dienste mit unterschiedlichen Domains verfügbar machen.
Multidomainzertifikat mit Wildcards scheint ja auch problematisch zu sein, zumindest konnte ich da nichts passendes finden.
Besteht ansonsten die Möglichkeit nur eine Redirection zum entsprechenden Server zu machen wenn die entsprechende Subdomain aufgerufen wurde? Dann könnte der Server die HTTPS Verschlüsselung übernehmen und dort kann man ja jeweils das passende Zertifikat hinterlegen.
Gruß,
Marcus
Reverse Proxy und verschiedene Wildcard Zertifikate
Moderator: Securepoint
Hallo MarcusM,
der Reverse-Proxy kann nur mit einem Zertifikat betrieben werden. Es kann aber ein Multidomain-Wildcard-Zertifikat verwendet werden.
[quote][font=-apple-system, Helvetica Neue, Helvetica, sans-serif]Besteht ansonsten die Möglichkeit nur eine Redirection zum entsprechenden Server zu machen wenn die entsprechende Subdomain aufgerufen wurde? Dann könnte der Server die HTTPS Verschlüsselung übernehmen und dort kann man ja jeweils das passende Zertifikat hinterlegen.[/font][/quote]
Das wäre dann ja eine Portweiterleitung, also eine Variante ohne Reverse-Proxy.
(Die Verwendung von einer Portweiterleitung und dem Reverseproxy gleichzeitig ist nur auf verschiedenen Ports möglich, da sich die hinterlegten Regeln sonst überschneiden.)
Grüße
Svenja
der Reverse-Proxy kann nur mit einem Zertifikat betrieben werden. Es kann aber ein Multidomain-Wildcard-Zertifikat verwendet werden.
[quote][font=-apple-system, Helvetica Neue, Helvetica, sans-serif]Besteht ansonsten die Möglichkeit nur eine Redirection zum entsprechenden Server zu machen wenn die entsprechende Subdomain aufgerufen wurde? Dann könnte der Server die HTTPS Verschlüsselung übernehmen und dort kann man ja jeweils das passende Zertifikat hinterlegen.[/font][/quote]
Das wäre dann ja eine Portweiterleitung, also eine Variante ohne Reverse-Proxy.
(Die Verwendung von einer Portweiterleitung und dem Reverseproxy gleichzeitig ist nur auf verschiedenen Ports möglich, da sich die hinterlegten Regeln sonst überschneiden.)
Grüße
Svenja
Hallo und erst mal vielen Dank.
Portweiterleitung (Destination NAT) ist klar. Hier sollen ja aber mehrere Server über 443 erreichbar gemacht werden.
Ist das tatsächlich technisch bedingt?
Beim anlegen einer neuen Servergruppe, zb über den Reverse-Proxy Assistent, wird an einer Stelle nach dem zu verwendenden SSL Zertifikat gefragt - obwohl dieses ja schon zentral im Reverse Proxy eingestellt ist. Stellt man dort ein anderes ein, wird auch das unter Einstellungen umgestellt. Ich habe mich nur gefragt warum man an dieser Stelle überhaupt noch mal das Zertifikat auswählen kann?
Wenn man sich mal löst von den sonstigen Funktionen des Reverse Proxy, wäre eine Anwendung die die angesprochene Subdomain auswertet und danach an den entsprechend hinterlegten Server weiterleitet doch theoretisch denkbar?
Gruß,
Marcus
Portweiterleitung (Destination NAT) ist klar. Hier sollen ja aber mehrere Server über 443 erreichbar gemacht werden.
Ist das tatsächlich technisch bedingt?
Beim anlegen einer neuen Servergruppe, zb über den Reverse-Proxy Assistent, wird an einer Stelle nach dem zu verwendenden SSL Zertifikat gefragt - obwohl dieses ja schon zentral im Reverse Proxy eingestellt ist. Stellt man dort ein anderes ein, wird auch das unter Einstellungen umgestellt. Ich habe mich nur gefragt warum man an dieser Stelle überhaupt noch mal das Zertifikat auswählen kann?
Wenn man sich mal löst von den sonstigen Funktionen des Reverse Proxy, wäre eine Anwendung die die angesprochene Subdomain auswertet und danach an den entsprechend hinterlegten Server weiterleitet doch theoretisch denkbar?
Gruß,
Marcus
Hallo,
technisch ist es ohne Problme möglich, für verschiedene Server/Webseiten verschiedene Zertifikate einzubinden. Nur halt nicht auf der UTM (zumindestestens nicht über das Webinterface, über Templates geht da bestimmt was), zumal bis vor kurzen der Squid Proxy keinen SNI Suppport unterstützt hat.
Andere Reverse Proxy wie zu zb. nginx, HAProxy oder Traefik können das zum Beispiel. Allerings arbeiten diese technisch auch anders als der Squid.
Zum Thema Zertifikat und Assistent: Der Assistent geht davon aus, dass der Reverse Proxy noch nicht konfiguriert wurde.
Gruß
technisch ist es ohne Problme möglich, für verschiedene Server/Webseiten verschiedene Zertifikate einzubinden. Nur halt nicht auf der UTM (zumindestestens nicht über das Webinterface, über Templates geht da bestimmt was), zumal bis vor kurzen der Squid Proxy keinen SNI Suppport unterstützt hat.
Andere Reverse Proxy wie zu zb. nginx, HAProxy oder Traefik können das zum Beispiel. Allerings arbeiten diese technisch auch anders als der Squid.
Zum Thema Zertifikat und Assistent: Der Assistent geht davon aus, dass der Reverse Proxy noch nicht konfiguriert wurde.
Gruß
Hallo,
Let's Encrypt wird zu einer sehr hohen Wahrscheinlichkeit nicht implementiert. (Trotzdem funktioniert es über Umwege)
Der Reverse Proxy ist auch, so wie er momentan vorhanden ist, für einen Großteil aller Kunden einsetzbar. Erst wenn man speziellere Umgebunden hat, stößt man an dessen Grenzen.
Beispiel: Normaler Kunde mit einer externen IP und einen Domain Namen (aber diversen Subdomains) -> Wildcard Zertifikat oder Multidomain Zertifikar -> Profit!
Deckt das Bedürfnis für ca 95% aller Kunden. Hat man speziellere Umgebunden mit vielen verschiedenen Domains und Zertifikaten sollte man sich evtl. überlegen einen extra Reverse Proxy zu implementieren (oder halt am Template rumspielen, auf eigene Gefahr).
Und gegen die knappen IPv4 Adressen gibt es IPv6
Gruß
Let's Encrypt wird zu einer sehr hohen Wahrscheinlichkeit nicht implementiert. (Trotzdem funktioniert es über Umwege)
Der Reverse Proxy ist auch, so wie er momentan vorhanden ist, für einen Großteil aller Kunden einsetzbar. Erst wenn man speziellere Umgebunden hat, stößt man an dessen Grenzen.
Beispiel: Normaler Kunde mit einer externen IP und einen Domain Namen (aber diversen Subdomains) -> Wildcard Zertifikat oder Multidomain Zertifikar -> Profit!
Deckt das Bedürfnis für ca 95% aller Kunden. Hat man speziellere Umgebunden mit vielen verschiedenen Domains und Zertifikaten sollte man sich evtl. überlegen einen extra Reverse Proxy zu implementieren (oder halt am Template rumspielen, auf eigene Gefahr).
Und gegen die knappen IPv4 Adressen gibt es IPv6
Gruß