• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

SSL-Zertifikat intern verwenden

lagstar

New Member
Hallo Leute,

vielleicht könnt ihr mir ja helfen - habt ihr in der Zukunft ja öfters :)

Folgende Ausgangssituation:
Webserver hinter Router mit fester IP-Adresse, Router mach Portforwarding Port 443 auf Webserver. Portforwarding greift aber nur von einer bestimmten Source-IP. Also kein öffentlicher Zugriff wie eine Webseite sondern nur "spezielle" IP-Adressen können den Web-Server erreichen.

Das Ganze soll dann auch eben über https:// (ssl) erreichbar sein.

Folgende Fragen stehen offen:

1. brauche ich überhaupt für dieses Szenario ein SSL-Zertifikat "mieten"? Damit die Browserleiste grün ist, kann ja wohl nicht der Grund sein ;-) Es sind interne Benutzer denen ich sagen kann, es ist vertrauenswürdig...

2. Wenn ich eins "miete", kann ich es dann nur an die feste IP-Adresse binden, ohne Domain?

3. Wenn ich kein Zertifikat mieten muss, installiere ich eins selbst-signiertes auf dem Webserver, richtig?



Wäre super wenn ihr mir kurz Rückmeldung gebt, danke im Voraus!
 
2. Zertifikat ist immer Domain gebunden
Ein Zertifikat kann auch für eine IP-Adresse ausgestellt werden. Es muss aber dann halt die IP-Adresse in der Adresszeile mit der im Zertifikat übereinstimmen - so wie es bei Domains auch ist.
Bieten einige CAs als "Mehrwert" an, der dann entsprechend extra kostet.

Eine Alternative für kostenlose Zertifikate ist auch CACert.org - denen vertraue ich persönlich mehr als dem Mossad ;)
Allerdings müssten - um Warnungen zu umgehen - die Rootzertifikate von CACert manuell beim Client installiert werden.
 
CACert wird bei vielen Browsern nicht als vertrauenswürdige Root-CA angesehen.
Wenn mal erst das Zertifikat importieren muss, kann man gleich eine eigene Root-CA für den eigenen Server machen, dann hat man alle Kontrolle ;)
 
Ein Zertifikat kann auch für eine IP-Adresse ausgestellt werden. Es muss aber dann halt die IP-Adresse in der Adresszeile mit der im Zertifikat übereinstimmen - so wie es bei Domains auch ist
Das wusste ich jetzt nicht, wieder was gelernt.
Danke
 
Hallo Leute,
....Damit die Browserleiste grün ist, kann ja wohl nicht der Grund sein ;-) Es sind interne Benutzer denen ich sagen kann, es ist vertrauenswürdig...

Nur nebenbei bemerkt ist nicht mit jedem Zertifikat die Leiste "Grün"!
Ein Zertifikat welches diese Funktion beinhaltet liegt bei durchschnittlich ~150€ und erfordert eine erweiterte Authentifizierung beim Aussteller.
 
Back
Top