Zertifikat Verständnisfrage

reboot

New Member
Hallo,

habe einen Server bei Hetzner für Web und Mail. Wegen der Sicherheitswarnung bei selbst-signierten Zertifikaten würde ich dafür gerne ein kommerzielles Zertifikat verwenden.
Gilt ein von Hetzner angebotenes Thawte SSL 123-Zertifikat 256 Bit sowohl für https, alsauch den Mailserver? D.h. https://domain.tld und mail.domain.tld ? Wird die Subdomain mail, der Eintrag im Zonefile, auch berücksichtigt, oder wird jeweils ein eigenes Zertifikat für die Domain und die Subdomain benötigt?

Danke!
 

danton

Debian User
Das Zertifikat hat gar nichts mit dem DNS-Zonefile zu tun, sondern ist völlig unabhängig. Technisch verwenden Mail-Server und Webserver die gleichen Zertifikate, aber es müssen entsprechend die Domains im Zertifikat eingetragen sein. Falls das von Hetzner angebotene Zertifikat kein Wildcard-Zertifikat oder Multidomain-Zertifikat ist, brauchst du also für jede Subdomain ein eigenes.
Du könntest aber z.B. auch deine Zertifikate bei StartSSL holen, da ist das Class1-Zertifikat z.B. kostenlos und wird von den gängigen Browsern und Mail-Programmen erkannt.
 

nexus

Well-Known Member
Außerdem wird beim dem StartSSL-Zertifikat eine Subdomain eingetragen. Als Vorgabe wird www.domain.tld angeboten, man kann dort z.B. aber auch mail.domain.tld eintragen.
 

PHP-Friends

Blog Benutzer
verifizierter Anbieter
StartSSL ist preis-/leistungstechnisch unschlagbar. Wir zahlen dort 50 Dollar im Jahr für die Validierung unserer Daten und können unbegrenzt viele Zertifikate ausstellen lassen (auch Wildcard-Zertifikate). Allerdings ist der "Support" dort ein wenig schwierig. :) Für den Preis aber völlig okay. Da kann man im Grunde keine Extrawurst in irgendeiner Hinsicht erwarten.
 

d4f

Müder Benutzer
StartSSL ist preis-/leistungstechnisch unschlagbar. Wir zahlen dort 50 Dollar im Jahr für die Validierung unserer Daten und können unbegrenzt viele Zertifikate ausstellen lassen (auch Wildcard-Zertifikate).
Für eine Firma sind 2 Validierungen (Personal und danach Organization) notwendig, der Preis ist also 100$/Jahr, nicht 50$. Für eine freie Auswahl an Wildcard-Zertifikaten noch immer ein Schnäppchen, aber halt doppelt so teuer.

Bei privatem Einsatz und wenn Wildcard nicht notwendig ist, ist Startssl kostenfrei, ansonsten fallen also 50$ oder 100$ je nach Einsatz an.
Beachte dass viele kommerzielle Zertifikate anderer Anbieter (inkl. einiger von Hetzner angebotener Zertifikate) _NUR_ für eine (Sub)domain gilt. Wenn man "beispiel.de" wählt, ist "www.beispiel.de" also nicht enthalten.
 

rolapp

Fan vom SSF
ich habe da jetzt auch mehrere Zertifikate.
Was da auch kein Problem ist, mehrere Zertifikate mit der gleichen TLD.

Z.B. sub1.domain.de sub2.domain.de .....

Das braucht dann nicht umbedingt ein Wildcard Zertifikat.
 

d4f

Müder Benutzer
Wenn man SNI macht oder für jedes Cert eine eigene IP hat, dann ja.
Naja, JEDER aktuelle Browser sowie jede aktuelle HTTP-Library beherrscht SNI. Mit SSL begründete IP-Anfragen werden übrigens immer wieder zumindest von Hetzner abgewiesen.
 

vb-server

Registered User
<ot>
Ja klar, aber Hetzner ist auch nicht RIPE ;-) RIPE vergibt /22 ohne jegliche Begründung (aber nur noch 1 pro LIR).

Hetzner hat mir mal für einen Serverbörse Server für 19€ (1GB RAM, 160GB Disk) 4 IPs genehmigt die mit Virtualisierung begründet habe :D </ot>
 

reboot

New Member
Danke für die Tipps. Habe jetzt ein startSSL Zertifikat eingerichtet. Hatte beim key zuerst ein Passwort erstellt. Erst als ich das wieder entfernt habe, hat Postfix nicht mehr gemurrt. Damit die Meldung, das root Zertifikat fehlt, nicht mehr aufscheint, mußte auch noch eine chain erzeugt werden.
 
Top