SSL: Mehrere Domains auf einem virtuellen Server

[maxmoon]

Hallo zusammen,

gerne möchte ich meinen Blog auf einem eigenen V-Server verwalten, damit ich die volle Macht über den Server habe und zusätzlich wollte ich neue Blogs/Webseiten starten, die eigene Domains haben.

Mein Problem ist jetzt, wie kann man mehrere SSL Zertifikate auf einem virtuellen Server installieren, weil das letzte Mal als ich ein SSL Zertifikat auf meinem privaten Server installiert hatte, konnte ich nur eines installieren und es galt für eine Domain.

Durch eigene Recherche habe ich nur erfahren, dass ein Multi-Zertifikat zig hunderte Doller pro Jahr kostet. Natürlich unbezahlbar, für einen Hobbyblogger.

Daher habe ich zwei Fragen:

1. Wie kann man mehrere Domains auf einem virtuellen Server so einrichten, dass diese per SSL erreichbar sind?
2. Woher bekommt man kostenlose Zertifikate, die vom Browser nicht als unsicher eingestuft wurden?

Vielen Dank für eure Hilfe

 

[Werner S]

Für jeden Blog eine eine eigene Vhost Datei anlegen.
Kostenlose SSL Zertifikate mit Let's Encrypt.

Wenn du die Antwort auf deine erste Frage nicht selber weist und das nicht von alleine Lösen kannst ist ein (v)Server nicht das richtige für dich. Das ist Basiswissen

 

[maxmoon]

Wenn du die Antwort auf deine erste Frage nicht selber weist und das nicht von alleine Lösen kannst ist ein (v)Server nicht das richtige für dich. Das ist Basiswissen

Jetzt weiß ich's ja, weil du es mir im ersten Satz erklärt hast...

Aber was genau muss in den Vhost Dateien stehen, damit das mit unterschiedlichen SSL Zertifikaten funktioniert? Gibt es Tutorials oder ähnliches dazu? Kennst du gute?

Und ist es mit Let's Encrypt auch möglich alle Zertifikate gleichzeitig automatisch up-to-date zu halten?

 

[Joe User]

Aber was genau muss in den Vhost Dateien stehen, damit das mit unterschiedlichen SSL Zertifikaten funktioniert? Gibt es Tutorials oder ähnliches dazu? Kennst du gute?

Hervorragende Doku: https://httpd.apache.org/docs/2.4/en/

Und ist es mit Let's Encrypt auch möglich alle Zertifikate gleichzeitig automatisch up-to-date zu halten?

Ja, steht doch auf deren Webseite.


Wann hast Du das letzte Mal Googles Suchmaschine verwendet? Hab gerüchteweise gehört, dass die ganz gut sein soll. Wie ist Deine Meinung dazu?

 

[maxmoon]

Wann hast Du das letzte Mal Googles Suchmaschine verwendet? Hab gerüchteweise gehört, dass die ganz gut sein soll. Wie ist Deine Meinung dazu?

Also Google direkt habe ich schon seit Jahren nicht mehr verwendet. Weiß doch jedes Kind, dass man das nicht verwenden soll! Gehört zum Allgemeinwissen, wie "Nimm keine Schokolade von Fremden Männern an".

Und jetzt weiß ich auch wieso vor über einem Jahrzehnt Foren gestorben sind. Sind wirklich keine Hilfe mehr, wobei ich mich noch an eine Zeit erinnern kann, wo diese hilfreich waren.

Foren scheinen wirklich nur noch zu existieren, um die Leute darauf hinzuweisen Google zu verwenden. Bekommt ihr eigentlich jedes Mal einen Bruchteil von einem Cent, wenn ihr das erwähnt oder woher kommt das?

 

[mr_brain]

... gerne möchte ich meinen Blog auf einem eigenen V-Server verwalten, damit ich die volle Macht über den Server habe und zusätzlich wollte ich neue Blogs/Webseiten starten, die eigene Domains haben.

Es ist vielleicht sinnvoll, wenn du dir für das Vorhaben auf dem vServer ein WebhostingControlPanel wie z.B. Plesk (Lizenzgebühr) oder ISPConfig (lizenzfrei) installierst. Beide bringen Let`s Encrypt-Integration mit und erleichtern das Verwalten des Servers (Email usw.).

 

[ThomasChr]

Hallo maxmoon,

na ganz so ist es nicht und Joe User ist definitiv sehr kompetent. Nur hat er (was vielleicht gerade durch die Kompetenz kommt) keine Lust Anfragenden die kein Grundwissen haben alles von Anfang an zu erklären.

Deine Anfrage der Art "ich hol mir jetzt nen vServer und mach damit toll SSL gebt mir mal ein Tutorial" zeugt doch eher davon dass du keine Ahnung von vServern hast und dir hier erstmal die Grundlagen aneigenen solltest. Und ein Forum ist nicht dazu da dir die Grundlagen zu erklären. Vorallem aufgrund der Tatsache dass du dir hier durchaus rechtlichen Ärger einhandeln kannst (der auch teuer werden kann) wenn du deinen Server nicht richtig absicherst.

Ein Control Panel wie von mr_brain empfohlen macht das Verwalten eines Servers sicherlich einfacher, nur hilft es auch nicht viel ohne das nötige Grundwissen.

Also fangen wir mal vorne an:
- Wieviele Linux Server mit welcher Distribution hast du denn schon installiert?

 

[maxmoon]

Hallo maxmoon,

na ganz so ist es nicht und Joe User ist definitiv sehr kompetent. Nur hat er (was vielleicht gerade durch die Kompetenz kommt) keine Lust Anfragenden die kein Grundwissen haben alles von Anfang an zu erklären.

Die Kompetenz von Joe User habe ich auch nicht in Frage gestellt.

Deine Anfrage der Art "ich hol mir jetzt nen vServer und mach damit toll SSL gebt mir mal ein Tutorial" zeugt doch eher davon dass du keine Ahnung von vServern hast und dir hier erstmal die Grundlagen aneigenen solltest.

Doch, ich bin seit Ewigkeiten Hobby-Server-Admin, aber hatte ich bisher eben nur eine Domain. Das Problem ist eher, dass ich durch das spezifische Problem, keine spezifische Anleitung gefunden habe, die genau erklären kann, wo was zu tun ist und aus welchen Gründen. Da dachte ich mir, dass ein Forum mit Profis mich schneller als Ziel bringen... aber falsch gedacht.

Also wenn ich in Foren anderen Leuten helfe, dann weiß ich wo gute Quellen sind und gebe diese auch weiter und dabei nenne ich nicht nur den Namen der Quelle, sondern auch den richtigen Artikel/die richtige Seite, anstatt die Leute auf einen Datensammler zu verweisen oder einfach einen zufällig ausgewählten Firmennamen zu nennen.

.. Vorallem aufgrund der Tatsache dass du dir hier durchaus rechtlichen Ärger einhandeln kannst (der auch teuer werden kann) wenn du deinen Server nicht richtig absicherst.

Redest du von Highjacking und dass mein Server als Plattform für Kriminelle benutzt werden kann, wie Spammer oder Kinderpornoserver, etc.? Tutorials dafür, inklusive sicheren Standardconfigs, gibt es wie Sand am Meer. Die findet man auch mit wenig Aufwand mit jeder Suchmaschine.

Also fangen wir mal vorne an:
- Wieviele Linux Server mit welcher Distribution hast du denn schon installiert?

Was Linux Server angeht, so habe ich oft CentOS verwendet. Aber da ich eigentlich jedes Linux als Server verwenden kann, habe ich schon einige installiert:
- CentOS
- Arch Linux
- Suse Linux
- Lint
- Ubuntu
... und noch ein Haufen anderer Debian Ableger.

Doch was soll diese Frage genau bringen? Wir leben im Jahr 2018. Jeder Anbieter von V-Servern bietet mir eine ganze Liste an Linux Distributionen, die ich in einem Klappmenü auswählen kann und diese dann installiert und im besten Fall schon (sicher) vorkonfiguriert ist. Oder sollte dort eher ein Fenster aufpoppen "Google doch danach!" Aber wie schon oben teilweise erörtert ... ich bin da wohl ein anderer Mensch, der sich komplett anders verhält und auch komplett andere Anforderungen an seinen Mitmenschen hat.

 

[ThomasChr]

Naja, deine Hoffnung "der Anwender bietet es an, dann wird es sicher sein" bestätigt sich oftmals nicht.
Außerdem ist Sicherheit kein Stand sondern eher ein laufender Prozess der regelmäßig überwacht werden will.

Es gibt viele Möglichkeiten mehrere Zertifikate kostenlos mit letsencrypt zu bekommen, solange alle Domains auf die IP deines Servers zeigen ist das alles garkein Problem.

Ich kenne kein fertiges Tutorial und müsste hier genauso googlen wie du eben auch. Ich kann dir aus meinen Anleitungen Beispielbefehle für das holen der Zertifikate zeigen:

apt-get install letsencrypt
letsencrypt certonly --webroot -w /var/www/wupwup.de/html -d wupwup.de -d www.wupwup.de -w /var/www/lala.de/html -d lala.de -d www.lala.de -w /var/www/lala.de/files -d files.lala.de -n -m mymail@example.com --agree-tos

Schon hast du EIN Zertifikat welches alle diese Domains (und Subdomains) beinhaltet. Erneuern tust du es wie folgt:

letsencrypt renew -m mymail@example.com --agree-tos

(einfach in einen Cron packen und danach den Apachen reloaden)

Um mehrere Domains im Apachen zu verwalten brauchst du für jede Seite eine eigene vHost-Konfiguration. Dort kannst du sagen "diese Domain kommt aus diesem Ordner". Zertifikat nutzen alle Seiten einfach das gleiche.

Gerade aber die vHost-Konfiguration vom Apachen ist eher ein Grundlagenthema und mit den Hinweisen von Werner S solltest du ein Tutorial finden können. Du erwartest hoffentlich nicht dass wir Tutorials für dich googeln oder extra für dich schreiben?

 

[maxmoon]

... Ich kann dir aus meinen Anleitungen Beispielbefehle für das holen der Zertifikate zeigen:

apt-get install letsencrypt
letsencrypt certonly --webroot -w /var/www/wupwup.de/html -d wupwup.de -d www.wupwup.de -w /var/www/lala.de/html -d lala.de -d www.lala.de -w /var/www/lala.de/files -d files.lala.de -n -m mymail@example.com --agree-tos

Schon hast du EIN Zertifikat welches alle diese Domains (und Subdomains) beinhaltet. Erneuern tust du es wie folgt:

letsencrypt renew -m mymail@example.com --agree-tos

(einfach in einen Cron packen und danach den Apachen reloaden)

Um mehrere Domains im Apachen zu verwalten brauchst du für jede Seite eine eigene vHost-Konfiguration. Dort kannst du sagen "diese Domain kommt aus diesem Ordner". Zertifikat nutzen alle Seiten einfach das gleiche. ...

Danke, das hilft mir doch schon mal weiter.

Ich verkneife es mir jetzt auch weitere Fragen hier zu stellen und stelle diese eher auf gutefrage.net

 

[nexus]

Foren scheinen wirklich nur noch zu existieren, um die Leute darauf hinzuweisen Google zu verwenden. Bekommt ihr eigentlich jedes Mal einen Bruchteil von einem Cent, wenn ihr das erwähnt oder woher kommt das?

Ernsthaft? Du kommst hierher, weil du Hilfe benötigst. Erwartest am besten noch, daß andere deine Probleme lösen und kommst dann mit solchern völlig haltlosen Unterstellungen?

Gibt es Tutorials oder ähnliches dazu?

Das Problem ist eher, dass ich durch das spezifische Problem, keine spezifische Anleitung gefunden habe, die genau erklären kann, wo was zu tun ist und aus welchen Gründen.

Anleitungen, Tutorials, etc. bringen dich nur dann wirklich weiter, wenn du auch verstehst, was du da machst und vor allem wenn du verstanden hast, wie das System und die einzelnen Dienste arbeiten.
Insofern war der Hinweis von Joe absolut richtig, sich mit der Webserver-Doku auseinanderzusetzen, diese zu lesen und auch zu verstehen. Blindes Copy&Paste ist selten wirklich zielführend.

Doch, ich bin seit Ewigkeiten Hobby-Server-Admin, aber hatte ich bisher eben nur eine Domain.

Und wo ist jetzt das Problem?
Ob du nur einen vHost für eine Domain oder hundert vHosts für hundert Domains konfigurierst...der Ablauf und die Konfiguration sind immer dieselben...

Redest du von Highjacking und dass mein Server als Plattform für Kriminelle benutzt werden kann, wie Spammer oder Kinderpornoserver, etc.? Tutorials dafür, inklusive sicheren Standardconfigs, gibt es wie Sand am Meer.

Das ist doch Quatsch!
Solche Tutorials sind immer nur Momentaufnahmen, die (wenn überhaupt) die aktuelle Gefahrenlage berücksichtigen.
Glaubst du wirklich, daß "Internetkriminelle" nicht lesen können? Die kennen solche Tutorials wahrscheinlich besser als die meisten von uns...Und die wissen sehr genau, daß sie ihre Mittel und Wege immer mehr verbessern müssen, um weiterhin den von ihnen gewünschten Schaden anzurichten.
Eine vernünftige Serverabsicherung ist ein immerwährender Prozeß, der ständig den aktuellen Gegebenheiten angepaßt werden muß...Und das geht eben nur, wenn der verantwortliche Admin auch das nötige Basiswissen über die Funktionsweise des Systems hat und sich auch permanent 'fortbildet', um immer auf dem Laufenden zu bleiben.

Wir leben im Jahr 2018. Jeder Anbieter von V-Servern bietet mir eine ganze Liste an Linux Distributionen, die ich in einem Klappmenü auswählen kann und diese dann installiert und im besten Fall schon (sicher) vorkonfiguriert ist.

Das ist nun völliger Blödsinn!
Der Hoster bietet Minimal-Images, also das nackte System und die Möglichkeit, aus der Ferne darauf zuzugreifen (SSH) an.
Alles Weitere liegt ganz allein in der Verantwortung des zuständigen Admins.

 

[nexus]

Ich verkneife es mir jetzt auch weitere Fragen hier zu stellen und stelle diese eher auf gutefrage.net

Da bist du mit deiner Grundeinstellung wohl auch besser aufgehoben.

 

[GwenDragon]

@maxmoon Hier ein paar videos: https://www.youtube.com/results?search_query=Apache+letsencrypt
Das Tutorial das du verstehst, such dir bitte raus.

Tutorial um SSL auf Apache zu installieren: https://www.youtube.com/watch?v=Ei-ah2ruEkM

 

[ThomasChr]

@GwenDragon: Du bist einfach zu großzügig

 

[maxmoon]

...
Solche Tutorials sind immer nur Momentaufnahmen, die (wenn überhaupt) die aktuelle Gefahrenlage berücksichtigen.
Glaubst du wirklich, daß "Internetkriminelle" nicht lesen können? Die kennen solche Tutorials wahrscheinlich besser als die meisten von uns...Und die wissen sehr genau, daß sie ihre Mittel und Wege immer mehr verbessern müssen, um weiterhin den von ihnen gewünschten Schaden anzurichten.
Eine vernünftige Serverabsicherung ist ein immerwährender Prozeß, der ständig den aktuellen Gegebenheiten angepaßt werden muß...Und das geht eben nur, wenn der verantwortliche Admin auch das nötige Basiswissen über die Funktionsweise des Systems hat und sich auch permanent 'fortbildet', um immer auf dem Laufenden zu bleiben.
...

Der Hoster bietet Minimal-Images, also das nackte System und die Möglichkeit, aus der Ferne darauf zuzugreifen (SSH) an.
Alles Weitere liegt ganz allein in der Verantwortung des zuständigen Admins.

Verstehe ich es richtig, dass sich das Hobby "Server-Admin" zum Größten Teil einfach nur noch damit beschäftigt, ständig den Server sicher zu halten?

Woher weiß ein Admin denn, dass es eine neue Gefahr gibt und wie genau er diese beseitigen kann? Es werden wohl sehr oft Anleitungen für Behebungsvorschläge veröffentlicht, an die sich viele Admins halten, oder sehe ich das falsch?

Zwischen den Zeilen lese ich heraus, dass es auch eher eine Empfehlung für Blogger ist, keinen eigenen Server zu verwalten, wenn diese es nur halbherzig machen und lieber einen Webhoster dafür bezahlen sollten, der das auf jeden Fall besser macht.

Da bist du mit deiner Grundeinstellung wohl auch besser aufgehoben.

Touché

 

[nexus]

Verstehe ich es richtig, dass sich das Hobby "Server-Admin" zum Größten Teil einfach nur noch damit beschäftigt, ständig den Server sicher zu halten?

Nein, nicht unbedingt.
Wenn das Basiswissen und das Verständnis für die Funktionsweise vorhanden sind, dann nimmt die Pflege und Wartung eines Servers nicht wirklich viel Zeit in Anspruch, wobei hier besonderer Wert auf Regelmäßigkeit liegen sollte. Es bringt nicht viel, wenn man sich nur 1-2 mal im Jahr die Zeit nimmt, um den Server zu warten.
Ich selber kalkuliere z.B. für jeden Server den ich betreue, 30 Minuten pro Tag fest ein, bleibe allerdings in der Regel meist weit darunter, da sich Abläufe ja meist auch wiederholen oder zumindest sehr ähnlich sind.

Woher weiß ein Admin denn, dass es eine neue Gefahr gibt und wie genau er diese beseitigen kann?

Mailinglisten, Bugreports, etc.

Zwischen den Zeilen lese ich heraus, dass es auch eher eine Empfehlung für Blogger ist, keinen eigenen Server zu verwalten, wenn diese es nur halbherzig machen und lieber einen Webhoster dafür bezahlen sollten, der das auf jeden Fall besser macht.

Da liegst du nicht ganz falsch.
Denn so sparst du dir die Zeit für Pflege und Wartung, da diese Arbeiten dann in den Aufgabenbereich des Hosters fallen und du kannst dich voll und ganz auf dein Kerngeschäft (das Bloggen) konzentrieren.

 

[maxmoon]

Nein, nicht unbedingt.
Wenn das Basiswissen und das Verständnis für die Funktionsweise vorhanden sind, dann nimmt die Pflege und Wartung eines Servers nicht wirklich viel Zeit in Anspruch, wobei hier besonderer Wert auf Regelmäßigkeit liegen sollte. Es bringt nicht viel, wenn man sich nur 1-2 mal im Jahr die Zeit nimmt, um den Server zu warten.
Ich selber kalkuliere z.B. für jeden Server den ich betreue, 30 Minuten pro Tag fest ein, bleibe allerdings in der Regel meist weit darunter, da sich Abläufe ja meist auch wiederholen oder zumindest sehr ähnlich sind.



Mailinglisten, Bugreports, etc.



Da liegst du nicht ganz falsch.
Denn so sparst du dir die Zeit für Pflege und Wartung, da diese Arbeiten dann in den Aufgabenbereich des Hosters fallen und du kannst dich voll und ganz auf dein Kerngeschäft (das Bloggen) konzentrieren.

Ok, dann danke ich dir sehr für die schöne Unterhaltung und die ganzen Tipps.

Und natürlich auch an alle anderen ein Dankeschön, die mir ernsthaft helfen wollten

 

[GwenDragon]

Verstehe ich es richtig, dass sich das Hobby "Server-Admin" zum Größten Teil einfach nur noch damit beschäftigt, ständig den Server sicher zu halten?

Jetzt schimpfe ich doch mal.
Hobby "Server-Admin". Ja, aber nur zuhause in einer VM, ohne Internetzugriff.

Ein Serveradministrator zu sein ist eine Tätigkeit, die tägliche Verantwortung und Wissen erfordert. Die kkannst du gar nicht entwickeln, wenn du das Hobby nennst!

Woher weiß ein Admin denn, dass es eine neue Gefahr gibt und wie genau er diese beseitigen kann? Es werden wohl sehr oft Anleitungen für Behebungsvorschläge veröffentlicht, an die sich viele Admins halten, oder sehe ich das falsch?

In dem er sich informiert über die jeweiligen Lücken bezügliche seiens OS und der verwendeten Programme. Dafür gibt es Mailinglisten bei den OS. Weiterhin auch Securitylisten der jeweiligen CERT lesen und CVE beobachten. Öfters mal Pentests fahren, Logdateien scannen/lesen/verstehen… usw.

Wer bloggen will, sucht sich einen Anbieter, der Server+Bloginstallation wartet und dich von nervigen Administration befreit.
Das verhindert auch, dass dein Server irgendwann Sachen hostet, die dich in den Knast bringen könnten.

 

[nexus]

Ok, dann danke ich dir sehr für die schöne Unterhaltung und die ganzen Tipps.

Gern geschehen.
Ich hoffe mal, daß du inzwischen gemerkt hast, daß dir hier niemand etwas Böses will und ich hoffe ebenso, daß wir dir den einen oder anderen Denkanstoß mit auf den Weg geben konnten.
Der Tenor dieses Forums ist, Hilfe zur Selbsthilfe zu geben. Es wird dir hier niemand deine Probleme lösen oder dir fertige Lösungen auf einem Silbertablett servieren, denn die hier Helfenden erwarten (zu Recht), daß der Hilfesuchende auch Eigeninitiative zeigt.

Ich möchte dir aber noch zwei Sachen ans Herz legen:
1. Nimm dir einfach mal die Zeit, hier im Forum (in den für dich relevanten Forenbereichen) ein bissel zu stöbern. Dann wirst du nämlich feststellen, daß viele, wenn nicht sogar alle deine Fragen irgendwo schon mal beantwortet wurden. Außerdem wirst du ziemlich oft den Verweis auf entsprechende Dokumentationen finden, was auch gut und richtig ist, denn nur mit dem richtigen Hintergrundwissen macht das Arbeiten als Admin erst wirklich Spaß.
2. Bleib hier im Forum längere Zeit aktiv (auch wenn du nur mitliest). Dann wirst du auch irgendwann verstehen, warum bei "Anfängerfragen" oft nur auf die Doku verwiesen wird und eben nicht hunderte Male das selbe Problem durchgekaut werden muß.

 

[Joe User]

Also Google direkt habe ich schon seit Jahren nicht mehr verwendet. Weiß doch jedes Kind, dass man das nicht verwenden soll! Gehört zum Allgemeinwissen, wie "Nimm keine Schokolade von Fremden Männern an".

Klar, und Aluhüte sind extrem modisch...