Kommerzielles -Serverzertifikat - aber welches?

Don83

New Member
Hallo community,
ich suche momentan nach einem kommerziellen server zertifikat:
Habe mich ein wenig erkundigt und ich finde psw.net bisher am attraktivsten.
http://www.psw.net/ssl-zertifikate.cfm

Bei den verschiedenen Zertifikaten kenne ich mich aber nicht mehr so aus und ich wollte mich erstmal erkundigen wie das ganze(der kauf und die abwicklung ) dann abläuft.

Benötigt wird einfach nur ein Serverzertifikat, dass für quasi alle domains des servers gilt.
1. Brauche ich da nur ein zertifikat oder für jede domain ein eigenes.
2. An sich soll das zertifikat nur auf möglichst vielen browsern laufen.
Zudem soll es gute Sicherheit bieten, also 2kbit ?!
Könntet ihr mir mal eure Meinung zum Light angebot mitteilen.
Kostet auf 3 Jahre nur 39,-- EURO. Oder ist daran irgendwas nicht in Ordnung?
Weil finde das bisher das angenehmste angebot.

3. Wenn ich nun zum Beispiel 3 domains anmelden will - bräuchte ich dann dieses Zertifikat 3 mal oder muss ich das wesentlich teurere multidomain angebot annehmen?
Multidomain
1 Jahr4

ab 89,-- EURO4

Das umfasst 100 domains, so viel werde ich aber nie brauchen.

4. Und dann noch last but not least zur bestellung selber:
Zunächst erstellen Sie eine Zertifizierungsanforderung (CSR) mit Ihrer Serversoftware.
Was genau ist denn damit gemeint? Ich habe einen debian hetzner server mit openSSL. Lässt sich das damit machen?
Entsprechende Anleitungen für die gängigsten Server finden Sie auf unserer englischsprachigen Partnersite. Sobald Sie Ihr CSR erstellt haben, können Sie mit der Bestellung fortfahren.

Bei der Wahl Ihres Allgemeinen Namens (CN) haben Sie die folgenden Möglichkeiten:
Was genau ist denn dieser allgemeine Name?
* Ihr voller Domainname (FQDN), z.B. www.domain.de, schützt https://www.domain.de/...

Bitte achten Sie darauf, daß Ihr privater Schlüssel mindestens 1024 bit und maximal 4096 bit lang sein darf.

Nachdem Sie das CSR mit Ihrer Serversoftware erstellt haben, kopieren Sie dessen Inhalt mit Hilfe eines Texteditors in das folgende Textfeld. Ihr CSR sollte dabei ungefähr so aussehen:

Ok, also das wars erstmal.
Ich hoffe ihr könnt mir ein paar tips geben. Bin mir total unsicher gerade.
 

dev

Registered User
Vorneweg: Ich habe mit PSW bisher sehr gute Erfahrungen gemacht.

Ein CSR lässt sich mit Debian Lenny erstellen und auch die Zertifikate sind problemlos in die vHosts einzubinden.

Wenn Du mehrere Domains sichern willst stellst sich die Frage ob, es um Subdomains geht oder 3 verschiedene Domains versorgt werden müssen.

Ein Multidomainzertifikat gilt für *.domain.tld und lohnt erst ab einer bestimmten Menge. Für domain1.tld, domain2.tld und domain3.tld brauchst Du 3 verschiedene Zertifikate.

Bei der Frage nach der Art des Zertifikats stellt sich die Frage nach Zielgruppe (Browserversionen?) und Art des zu verschlüsselnden Angebots (Shop, Adminpanel etc.).
 

Valentin

Registered User
Mit PSW mache ich auch seit über 2 Jahren sehr gute Erfahrungen. Die Preise dort sind definitiv ok und der Support ist außergewöhnlich. In einigen Fällen hat man uns im Büro angerufen und nachgefragt, ob das wirklich so gewollt ist oder ob wir da weitere Hilfestellung benötigen.

Aber Achtung: Ein Single-Domain-Zertifikat, wie beispielsweise das Limitbreaker, ist nur für eine Domain gültig.

Beispiel:
https://domain.de
oder
https://www.domain.de
oder
https://shop.domain.de


Den Rest hat dev ja schon super erklärt.

Ansonsten gibt es noch von European-SSL Wildcart-Zertifikate, die für alle Subdomains gelten, die auf der gleichen physikalischen Maschine liegen.... Die Preise beginnen hier bei 200 Euro brutto im Jahr.
 

Huschi

Moderator
Staff member
Neben der Problematik ob Multi- oder Single-Domain sollte man auch den "verifizierten Inhaber" nicht vergessen.
Wenn dieser nicht verifiziert ist, erscheint bei mir ein rotes Ausrufezeichen im Zertifikat.
Für einen Internet-Shop z.B. ungeeignet. Für Email und als SSL für ein Kundenlogin oder Firmen-Intranet reicht es allemal.

huschi.
 

henk77

New Member
Hallo Huschi,

bei welchem Browser ist das so? War das die Standardeinstellung?


dev hat übrigens die Wildcard- und Multidomain-Zertifikate durcheinander gebracht. Bei Multidomain-Zertifikaten kannst du eine begrenzte Anzahl an beliebigen voll qualifizierten Domains angeben, also müsste bzw. kann man jeweils extra t1.dom1.de, dom1.de und t1.dom2.de angeben.

Wildcard-Zertifikate gelten dagegen automatisch für jede beliebige direkte (ohne weiteren .) Subdomain einer einzigen Domain dom1.de. Sprich t1.dom1.de, t2.dom1.de ...., aber meistens nicht dom1.de selbst.
 

Don83

New Member
Ok dann mal noch eine Frage.
Wenn ich nun sagen wir mal 3 Projekte online stellen will.

Dann wäre es doch am sinnvollsten 3 singledomain zertifikate zu kaufen, oder?
Dann kommt noch die Frage dazu:
Mein server hat ja nur eine IP adresse.
KANN ich zu einem server überhaupt mehrere Zertifikate kaufen oder MUSS ich dann ein Wildcard bzw. Multidomain zertifikat kaufen wenn ich mehrere webprojekte hoste?
 

Roger Wilco

Blog Benutzer
Dann wäre es doch am sinnvollsten 3 singledomain zertifikate zu kaufen, oder?
Wenn die Projekte völlig voneinander getrennt sein sollen: ja.

Mein server hat ja nur eine IP adresse.
KANN ich zu einem server überhaupt mehrere Zertifikate kaufen oder MUSS ich dann ein Wildcard bzw. Multidomain zertifikat kaufen wenn ich mehrere webprojekte hoste?
Es kommt darauf an. Mit SNI kannst du durchaus mehrere Domains via HTTPS anbieten, selbst wenn deren A Resource Record auf die selbe IP-Adresse verweist. Allerdings unterstützen das weder alle Webserver noch alle Webclients. Wenn du auf Nummer sicher gehen willst, lässt du die drei Webpräsenzen über drei verschiedene IP-Adressen laufen.
 

Don83

New Member
Ok danke nochmals für die Antworten, aber da ergeben sich bei mir gleich neue Fragen:

Zitat:
Zitat von Don83 Beitrag anzeigen
Dann wäre es doch am sinnvollsten 3 singledomain zertifikate zu kaufen, oder?
Wenn die Projekte völlig voneinander getrennt sein sollen: ja.
Ja ich denke schon. Ist ein uniserver und ist für denke ich komplett unterschiedliche Projekte gedacht. (Momentan sinds 3 Projekte und die haben nichts miteinander zu tun).

Zitat:
Zitat von Don83 Beitrag anzeigen
Mein server hat ja nur eine IP adresse.
KANN ich zu einem server überhaupt mehrere Zertifikate kaufen oder MUSS ich dann ein Wildcard bzw. Multidomain zertifikat kaufen wenn ich mehrere webprojekte hoste?
Es kommt darauf an. Mit SNI kannst du durchaus mehrere Domains via HTTPS anbieten, selbst wenn deren A Resource Record auf die selbe IP-Adresse verweist. Allerdings unterstützen das weder alle Webserver noch alle Webclients. Wenn du auf Nummer sicher gehen willst, lässt du die drei Webpräsenzen über drei verschiedene IP-Adressen laufen.
Ok, also ich beschäftige mich leider noch nicht lange mit servern und blicke da gerade noch nicht ganz durch.
Was ist denn nun SNI und was ist ein A Resource Record.
Desweiteren: Drei verschiedene IPs würde 3 verschiedene server bedeuten? Oder kann man über einen server mehrere IPs registrieren?
Also momentan hat ja der server genau eine IP über die man den server mit ssh etc. erreicht.
 

Don83

New Member
Du kannst problemlos mehrere IPs auf einen Server verweisen lassen.

Darf ich noch fragen wie das umzusetzen ist?
Muss man dafür den Server anbieter kontaktieren und die IPs zukaufen? oder kann man das einfach über das Betriebssystm(debian-lenny) selber einrichten?
 

Valentin

Registered User
Klar :)

Zunächst einmal muss dir dein Anbieter die IP-Adressen zuweisen, anschließend kannst du diese auf deinem Server einrichten, unter Linux z.B. unter
/etc/network/interfaces
. Wichtig ist, dass du dir nicht einfach IPs einrichtest, sondern dass du die Bestätigung hast, dass diese auch zu deinem Server durchgerouted werden.

Oft verlangt ein Anbieter pro zusätzlicher IP-Adresse 1 Euro brutto im Monat oder einmalig.
 

coolnes2003

Registered User
kann man das Zertifikat dann einfach auf eine andere Domain dann verweisen wenn man es nicht mehr benötigt. Also domain1.de auf domain2.de.
 

Don83

New Member
Hallo,
also - ich wollte jetzt nochmal nachfragen ob man folgendes machen kann.
Die IP zertifizieren. Zum Beispiel:
213.219........usw.
Wenn man ein Zertifikat bestellen will steht:
Ihr voller Domainname (FQDN), z.B. www.domain.de, schützt https://www.domain.de/...

Jetzt weißich wie gesagt nicht, ob die IP auch als Domänenname durchgeht - da wir keinen Domänennamen wollen(bzw. nur die orginal IP).

Desweiteren:
Ich , bzw. mein Lehrtstuhl(bin Hiwi) wollte dass dann so machen, dass wir ein Einzelzertifikat nehmen und dann die Projekte einfach in Unterverzeichnisse legen.
Also zum Beispiel: IP/Projekt1, IP/Projekt2 usw..
Das müsste doch passen mit einem einzelzertifikat oder?
 

Don83

New Member
Argh,
ok alles klar. : /
Trotzdem danke für die Antwort.
Darf ich gleich noch eine Frage hinterherwerfen:
Ich wollte die Bestellung mal "antesten" - also sehen was benötigt wird.
Dabei bin ich auf ein Feld gestoßen dass ich noch nicht ganz durchblicke.
Die Bestätigungsadresse:
Für Bronze-Zertifikate muß außerdem eine funktionierende E-Mail-Adresse im WHOIS einsehbar sein und von Ihnen benannt werden, alternativ benennen Sie uns eine E-Mail-Adresse innerhalb der zu zertifizierenenden Domain aus folgender Liste: admin@, administrator@, hostmaster@, root@, ssladmin@, sysadmin@ oder webmaster@.
Was ist denn dieses WHOIS?
Es stehen im Feld leider nur wenige Adressen zur Auswahl und ich weiß auch nicht genau was diese Adressen bedeuten. Bzw. wie/wo ich solch eine Adresse beantrage. :confused:
Ein Bild der Auswahl hab ich im Anhang.
 

Valentin

Registered User
Ein WHOIS-Eintrag ist öffentlich einsehbar und beinhaltet Daten zum Domaininhaber, Verwalter bzw. technischen Ansprechpartner, zum Hoster und zum Zonenadmin.

Beispiel:
denic.de -> oben rechts eine .de-Domain eingeben.
 
Top