• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Problem: Strato-SSL -> Linux-V-Server/Tomcat

Xork123

New Member
Hallo,

Ausgangssituation ist ein Strato-Powerweb-Hosting-Paket.
Für diese Paket wurde eine Domäne registriert (xyz.de) und dazu "Strato-SSL" gebucht.
Bei "Strato-SSL" bekommt man das Zertifikat nicht in die Hand.
Über die Domäne soll eine Tomcat-Installation erreichbar sein per SSL/https.

Bei der Domäne ist eine "externe Umleitung" per Proxy auf diesen Strato-Linux-V-Server definiert.

Nach diversen Versuchen habe ich es nicht geschafft, dass man auch per http://xyz.de auf https://xyz.de landet,
sondern es wird per http angezeigt.
Per https://xyz.de landet man per SSL/https auf dem Tomcat, wie erwartet.

In der server.xml führt z.B. das Setzen von proxyName auf xyz.de dazu, dass ein Umleitungsfehler kommt.

Im /ROOT hatte ich in die index.jsp Testausgaben gepackt, so das man sieht, dass der Server immer von Port 80 ausgeht
und er immer den Servernamen hbla.stratoserver.net auflöst.


Frage: Wie kann ich server.xml bzw. web.xml anpassen, dass, auch in diesem Fall bei Strato, man
immer die https-Variante bekommt? Kann jemand die Problematik?
Die Standard-Lösungen für https-Erzwingen greifen nicht.

Danke ;)

Grüße Xork
 
...Bei der Domäne ist eine "externe Umleitung" per Proxy auf diesen Strato-Linux-V-Server definiert.

...
Also via Apache ProxyPass/ProxyPassReverse oder HTTP/HTTP-Frame Weiterleitung?

Wenn Tomcat direkt per HTTPS erreichen werden soll muss, so weit ich weiß, der Tomcatserver/Java das Zertifikat installiert haben. Für einen ordentlichen Kommentar dazu gibt es aber fähigere Leute als mich hier.

http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html#Edit_the_Tomcat_Configuration_File
 
Tomcat mit SSL will man sich nicht wirklich antun, ich machs auch mit ProxyPass.

So ganz ist mir das Szenario mit Strato und auf welche Sachen der Fragesteller Zugriff hat, nicht klar.
 
Tomcat mit SSL will man sich nicht wirklich antun, ich machs auch mit ProxyPass.
So ganz ist mir das Szenario mit Strato und auf welche Sachen der Fragesteller Zugriff hat, nicht klar.

Tomcat/SSL hab ich aktuell leider keine Wahl.

1.) Erstmal, was ist bitte "Apache ProxyPass"? Ein Proxy-Dienst von Apache? Der ggf. vorgeschaltet wird?

2.) Szenario:

Strato Web-Hosting-Paket/PowerWeb
--
- Domäne xyz.de mit "Strato-SSL" gebucht
- Domäne zeigt per "Strato Umleitung" ("Proxy", als Std.-Einstellung) auf einen Strato-Linux-V-Server 'h...stratoserver.net'

Strato-Linux-V-Server
--
- Installierter Tomcat

IST - Zustand
--
Aufruf per https://xyz.de zeigt korrekt die Seiten im /ROOT an und die SSL-Angaben im Browser sehen auch korrekt aus. (Schloss+Verif. d. Strato-AG)
Aufruf per http://xyz.de zeigt die Seiten im /ROOT an, aber dann auch wirklich per http ohne SSL/https.

Ausgabe von requestURL und Port in JSP-Seite im /ROOT liefert immer h...stratoserver.net und Port 80,
egal ob per https oder http aufgerufen.

Ziel
--
Per http://xyz.de wird man nach https://xyz.de 'gezwungen', so das allgemein alle nicht-https-Aufrufe auf https://... umgeleitet werden.
 
Ich kanns mir leider nach wie vor nicht genau vorstellen, wie das bei Dir aussieht. Da ich selber Webhoster bin kenne ich das Strato Interface nicht.

ProxyPass:

Da nimmt man einen Apache und alle Anfragen kommen an dem an. Da kann man auch sagen: Redirecte alles http nach https. Der Tomcat lauscht auf einem anderen Port und per ProxyPass holt der Apache die Sachen vom Tomcat, der Anwender merkt das nicht.

Mal angenommen Deine erste Stufe (da wo Du was von Proxy schreibst) ist ein Apache, dann ist die Frage was da konfigurierbar ist und ob man da so einen Redirect hinbekommt. Mach doch mal nen Screenshot von den entsprechenden Interfaces.
 
Ich kanns mir leider nach wie vor nicht genau vorstellen, wie das bei Dir aussieht. Da ich selber Webhoster bin kenne ich das Strato Interface nicht.

ProxyPass:

Da nimmt man einen Apache und alle Anfragen kommen an dem an. Da kann man auch sagen: Redirecte alles http nach https. Der Tomcat lauscht auf einem anderen Port und per ProxyPass holt der Apache die Sachen vom Tomcat, der Anwender merkt das nicht.

Mal angenommen Deine erste Stufe (da wo Du was von Proxy schreibst) ist ein Apache, dann ist die Frage was da konfigurierbar ist und ob man da so einen Redirect hinbekommt. Mach doch mal nen Screenshot von den entsprechenden Interfaces.

Die Seite, wo die Umleitungen definiert werden:
MOD: Anhang.

Viel kann man da nicht einstellen. Man sieht nicht mal,
was für ein Produkt verwendet wird.

Die SSL-Seite des Hostingpaketes:
MOD: Anhang.

"SSL erzwingen" an- oder ausgeschaltet hatte kein Auswirkung auf das Verhalten der beiden Aufrufvarianten. (per https oder http)


Will mich ja ggf. auch mal mit deren Hotline auseinandersetzen,
aber erwarte da irgendwie leider nicht viel...
 

Attachments

  • user27695_pic57_1443610211.jpg
    user27695_pic57_1443610211.jpg
    33.6 KB · Views: 129
  • user27695_pic56_1443609935.jpg
    user27695_pic56_1443609935.jpg
    40.9 KB · Views: 124
Das sieht echt sehr rudimentär aus.

An Deiner Stelle würde ich das erstmal so einrichten, dass nur irgendeine index.html aufgerufen wird und dann schauen, ob SSL erzwingen klappt. Wenns dann mit Deiner Proxy -> Tomcat Variante nicht geht, würde ich damit beim Support vorstellig werden
 
Wenns dann mit Deiner Proxy -> Tomcat Variante nicht geht, würde ich damit beim Support vorstellig werden

Hatte mir jetzt weitere Tests gespart und es mit dem Support versucht.
3 Anrufe. Einmal Technik und zweimal Server-Technik.
Grundlegend alle nett und hilfsbereit. Das vorab.

Um das alle richtig geregelt zu bekommen muss Folgendes passieren:

1.) Domäne von PwerWeb-Hosting wieder auf Linux-V-Server umziehen.

2.) Den V-Server mit Reseller-Vertrag laufen lassen. (kostenfrei)
Dann hat man den DNS-Eintrag komplett in der Hand (zusätzliche Menüs), so
dass man auch für einen Exchange-Online-Server u.a. die TXT-Einträge
angeben kann.

3.) Neues (easy/rapid)-SSL Zertifikat für den V-Server/die Domäne bestellen.

Leider sieht das kostentechnisch so aus, dass der Domänenumzug nochmal
Geld kostet, das SSL-Zertifikat aus dem PowerWeb-Paket nutzlos wird und
somit einfach nur Geld gekostet hat und das neue SSL-Zertifikat für den
V-Server wieder was kostet.

Beim ersten Hotline-Anruf wurde damals gesagt, dass alles unproblematisch wäre.
Naja, beim nächsten Mal ist man schlauer.
 
Der Strato Support ist allerdings recht kulant, wenn Du am Ende den Sachverhalt schilderst und um eine Kulanzbearbeitung durch die nächste Eskalationsstufe bittest, oder versuch es mal auf Facebook.

Du hast zwar den Ärger, aber wenn am Ende alles gehen sollte und Du noch etwas der sinnlosen Kosten erstattet bekämst...

Was kostet Dich der ganze Spaß da eigentlich?

Ich hab eine ähnliche Kombi auf einem bei einer befreundetgen Hostingfirma gemieteten VServer laufen (ich selbst biete nur Webspace, keine VServer an), also Apache mit proxy und dahinter den Tomcat, der nur lokal auf Port 8091 lauscht, da läuft mein Wiki auf Basis von Confluence. Nebenbei hab ich auf der Kiste noch mein Monitoring (Icinga) laufen

Das SSL Offloading macht der Apache, auch den Redirect von ohne SSL auf SSL.

Zertifikate kaufe ich bei Namecheap in den USA, da zahle ich im Jahr rund 9 Dollar für ein einfaches Zertifikat.

So sieht das mit dem Proxy aus:

Code:
<VirtualHost *:443>

    ServerName xxx.xxxxxxxx.xxx

    ProxyRequests Off
    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>

    ProxyPass /confluence http://localhost:8090/confluence
    ProxyPassReverse /confluence http://localhost:8090/confluence

....

Code:
<VirtualHost *:80>
        Servername xxxxx.xxxxxx.xxx
        Redirect / https://xxxx.xxx.xxx/

...

Ok, das mit dem Redirect geht auch noch eleganter mit mod_rewrite, falls man es benötigt, dass der hintere Teil der URL beim Redirect erhalten bleibt, in meinem Fall das aber so gereicht.
 
Danke für den Einstellungsschnipsel+Infos, dann hab ich zumindest ne grobe Vorstellung davon ;)

Und, dass man u.U. mit Kulanz bei Strato rechnen kann, wenn man fragt.

Was kostet Dich der ganze Spaß da eigentlich?
Ein Domänenumzug kostet 15,- EUR (brt)
SSL SingleDomain-Zertifikat um 45,- EUR p.a. (brt) (gibt es je nach Anwendungsfall etwas unterschiedliche Preise)
Die Anmeldung als Reseller kostet nichts und ging auch recht fix.

Zertifikate kaufe ich bei Namecheap in den USA, da zahle ich im Jahr rund 9 Dollar für ein einfaches Zertifikat.
Das ist ja echt günstig, aber dann zeigt der Browser auch irgendwas mit "Verifiziert durch: Namecheap" an oder steht
dann da wieder was anderes?
 
Das ist ein Comodo Zertifikat, Namecheap ist ja nur ein Reseller. Der Preis ist super, aber man hat halt auch die Arbeit damit, CSR erstellen, einreichen und so.

Schaus Dir hier an: https://blog.ah64.net/

Ich verkaufs meinen Kunden auch für 60 Euro im Jahr weiter + Steuer, weil man natürlich einen Aufwand beim Beantragen hat.
 
Wohlgemerkt ich rede jetzt im Vergleich über Reseller Netto-Einkaufspreise aber deine Preise tun mir im Magen weh.

Ein Domänenumzug kostet 15,- EUR (brt)
Da du oben von Endung .de sprichst... 15€? Je nach Konditionen drehen sich die Einkaufspreise für .de (Setup entfällt bei Transfer) im 2.x€/Jahr Bereich.

SSL SingleDomain-Zertifikat um 45,- EUR p.a.
Comodo.... Singledomain.... kein Wildcard. Bei Domainvalidierung (generell ausreichend) wären wir bei PositiveSSL für 3.95€/Jahr, bei Inhabervalidierung bei InstantSSL für 25$/Jahr.

Das ist ja echt günstig, aber dann zeigt der Browser auch irgendwas mit "Verifiziert durch: Namecheap" an oder steht
dann da wieder was anderes?
Nein, Reseller reichen nur die Anfragen durch und nehmen die Supportarbeit ab wobei sie durch Menge günstige Preise kriegen. Da steht dann weiterhin "Comodo" drin und entweder Domain-validated deinedomain.de oder inhaber-validated dein Name.

Der Preis ist super, aber man hat halt auch die Arbeit damit, CSR erstellen, einreichen und so.
Lässt sich super automatiseren, die meisten Hostingpanel tun es auch automatisiert. In Verbindung mit einem Plugin im Rechnungssystem sollte jeder Kunde das dann selbstständig hinkriegen - meine tun es zumindest =)
 
Wohlgemerkt ich rede jetzt im Vergleich über Reseller Netto-Einkaufspreise aber deine Preise tun mir im Magen weh. Da du oben von Endung .de sprichst... 15€? Je nach Konditionen drehen sich die Einkaufspreise
für .de (Setup entfällt bei Transfer) im 2.x€/Jahr Bereich.

15 EUR dafür, dass die schon gekaufte Domäne von z.B. einem Hosting-Paket zu nem anderen umgemeldet wird.

Comodo.... Singledomain.... kein Wildcard. Bei Domainvalidierung (generell ausreichend) wären wir bei PositiveSSL für 3.95€/Jahr,
bei Inhabervalidierung bei InstantSSL für 25$/Jahr.

Die Preise sind ne Ansage.

Nein, Reseller reichen nur die Anfragen durch und nehmen die Supportarbeit ab wobei sie durch Menge günstige Preise kriegen. Da steht
dann weiterhin "Comodo" drin und entweder Domain-validated deinedomain.de oder inhaber-validated dein Name.

Ahh, okay.

Lässt sich super automatiseren, die meisten Hostingpanel tun es auch automatisiert. In Verbindung mit einem Plugin im Rechnungssystem
sollte jeder Kunde das dann selbstständig hinkriegen - meine tun es zumindest =)

Was das CSR angeht beim Strato-"easy SSL" musste ich das auch selber erzeugen.
 
Was das CSR angeht beim Strato-"easy SSL" musste ich das auch selber erzeugen
Dann hast du ja .key Datei des Zertifikates schon. Den öffentlichen Teil des Schlüssels kannst du vom Webserver runterladen. Du hast also eigentlich das volle Zertifikat. Siehe bspw hier: http://superuser.com/questions/97201/how-to-save-a-remote-server-ssl-certificate-locally-as-a-file

15 EUR dafür, dass die schon gekaufte Domäne von z.B. einem Hosting-Paket zu nem anderen umgemeldet wird
Ups stimmt. Das ist einfach nur ne Frechheit. Ausser deren first-level Support soll auch in Ferrari fahren und kriegt nen Wahnsinns-Stundenlohn ist das ein vernachlässigbarer Kostenfaktor und wird generell von seriösen Webhoster (im erträglichen Rahmen) kostenfrei durchgeführt.

Die Preise sind ne Ansage.
Endkundenpreise aber weiterhin ganz ok: gogetssl.com - alternativ natürlich startssl.com
Einige Anbieter mögen es aber nicht oder verbieten sogar das Verwenden externer Zertifikate.
 
Dann hast du ja .key Datei des Zertifikates schon.
Auf einem anderen Server hatte ich das mal gemacht.

Ups stimmt. Das ist einfach nur ne Frechheit. Ausser deren first-level Support soll auch in Ferrari fahren und kriegt nen Wahnsinns-Stundenlohn ist
das ein vernachlässigbarer Kostenfaktor und wird generell von seriösen Webhoster (im erträglichen Rahmen) kostenfrei durchgeführt.
Dafür ist etwas Papierkram im Spiel, aber trotzdem...

Endkundenpreise aber weiterhin ganz ok: gogetssl.com - alternativ natürlich startssl.com
Danke.

Einige Anbieter mögen es aber nicht oder verbieten sogar das Verwenden externer Zertifikate.
Guter Hinweis!
 
Back
Top