Wildcard Zertifikate
-
- Posts: 579
- Joined: Tue 9. Feb 2016, 16:44
Wildcard Zertifikate
Hallo zusammen,
Let's encrypt kann jetzt auch Wildcard Zertifikate. Es wäre sicher interessant, wenn man das auch in Keyhelp nutzen kann.
https://community.letsencrypt.org/t/acm ... live/55579
Knackpunkt, den ich an dieser Stelle gerne erwähnen möchte:
Wenn man sehr (!) viele Subdomains hat, dann verteilt man die vielleicht über mehrere Server.
Einzelne Zertifikate zu buchen ist aufgrund des Domain Limits nicht möglich, da man pro Woche "nur" 20 Subdomains einer Domain aktualisieren kann.
Vielleicht gibt es ja eine Möglichkeit, das zu berücksichtigen.
Wenn auch nur durch ein Skript, dass das Zertifikat auf die anderen Server kopiert.
Für mich hat das keine hohe Priorität, aber ich wollte schon mal vorsorglich Bescheid sagen.
Let's encrypt kann jetzt auch Wildcard Zertifikate. Es wäre sicher interessant, wenn man das auch in Keyhelp nutzen kann.
https://community.letsencrypt.org/t/acm ... live/55579
Knackpunkt, den ich an dieser Stelle gerne erwähnen möchte:
Wenn man sehr (!) viele Subdomains hat, dann verteilt man die vielleicht über mehrere Server.
Einzelne Zertifikate zu buchen ist aufgrund des Domain Limits nicht möglich, da man pro Woche "nur" 20 Subdomains einer Domain aktualisieren kann.
Vielleicht gibt es ja eine Möglichkeit, das zu berücksichtigen.
Wenn auch nur durch ein Skript, dass das Zertifikat auf die anderen Server kopiert.
Für mich hat das keine hohe Priorität, aber ich wollte schon mal vorsorglich Bescheid sagen.
Viele Grüße, Christian
- MaisKolben
- Posts: 13
- Joined: Sat 6. Feb 2016, 18:13
Re: Wildcard Zertifikate
Könnte man dies vllt. sogar mit einem schnellen 18.1 Update in den kommenden Tagen nachholen?
Ich habe zwar nicht das Problem mit dem Subdomain Limit pro Woche, aber eine übersichtlichere Auflistung bei den Domains bezüglich den Zertifikaten, wäre damit auf jeden Fall gegeben und das stressige einzelne verteilen der Zertifikate wäre damit auch ein Problem von gestern.
Ich würde mich auf jeden Fall über eine schnelle Implementierung diesbezüglich freuen.
Übrigens ein großes Lob für das 18.0 Update an das Team von KeyHelp. Läuft alles tadellos.
Beste Grüße!
Ich habe zwar nicht das Problem mit dem Subdomain Limit pro Woche, aber eine übersichtlichere Auflistung bei den Domains bezüglich den Zertifikaten, wäre damit auf jeden Fall gegeben und das stressige einzelne verteilen der Zertifikate wäre damit auch ein Problem von gestern.
Ich würde mich auf jeden Fall über eine schnelle Implementierung diesbezüglich freuen.
Übrigens ein großes Lob für das 18.0 Update an das Team von KeyHelp. Läuft alles tadellos.
Beste Grüße!
Re: Wildcard Zertifikate
Hallo und danke für den Hinweis!
---
Das Problem mit einem "schnellen Update" ist, das Ursprünglich das Let's Encrypt System im KeyHelp mit dem Hintergedanken 'ein Zertifikat für eine Domain' entwickelt wurde. Hier sind also noch ein paar umfangreichere Arbeiten notwendig um 'Ein Zertifikat, mehrere Domains' zu bewerkstelligen.
Zusätzlich müsste noch eine noch Umstellung auf ACMEv2 + DNS-01 Challange erfolgen.
Ich schau es mir Anfang kommende Woche einmal genauer an.
Könntest du das noch etwas ausführen - Wie stellst du dir die übersichtlichere Variante vor?MaisKolben wrote:aber eine übersichtlichere Auflistung bei den Domains bezüglich den Zertifikaten, wäre damit auf jeden Fall gegeben
---
Das Problem mit einem "schnellen Update" ist, das Ursprünglich das Let's Encrypt System im KeyHelp mit dem Hintergedanken 'ein Zertifikat für eine Domain' entwickelt wurde. Hier sind also noch ein paar umfangreichere Arbeiten notwendig um 'Ein Zertifikat, mehrere Domains' zu bewerkstelligen.
Zusätzlich müsste noch eine noch Umstellung auf ACMEv2 + DNS-01 Challange erfolgen.
Ich schau es mir Anfang kommende Woche einmal genauer an.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
- MaisKolben
- Posts: 13
- Joined: Sat 6. Feb 2016, 18:13
Re: Wildcard Zertifikate
Dadurch das es Wildcard Zertifikate sind, würde das blaue Icon von LE nur noch bei den Hauptdomains unter dem Punkt Sicherheit auftauchen (Wenn man nur noch Wildcard Zertifikate vergibt). So erkennt man jedenfalls die Hauptdomain und bis wohin dieser Hauptdomain die Subdomains gehen, da es im Moment ja in keinster Weise farblich hervorgehoben ist oder ähnliches. Wobei ich mir eine farbliche Hervorhebung auch irgendwie wünschen würde um diese besser trennen zu können.
Beste Grüße.
Beste Grüße.
-
- Posts: 579
- Joined: Tue 9. Feb 2016, 16:44
Re: Wildcard Zertifikate
Das ist ein Klassiker in der Entwicklung, oder? Das Problem habe ich ständig.
Falls es sich nicht gut umsetzen lässt, kann ich auch gut mit der bisherigen Lösung leben und ein Wildcard Zertifikat kaufen. Ist ja schnell hinterlegt.
Viele Grüße, Christian
Re: Wildcard Zertifikate
Moin!
Wenn Umstellung auf DNS-01 Verfahren, dann bitte optional, denn sonst funktioniert das nicht mehr, wenn man einen externen DNS-Server betreibt. Die Methode mit Ablegen einer Datei im Webroot sollte also auf jeden Fall weiterhin auswählbar sein.
Viele Grüße,
Lars
Wenn Umstellung auf DNS-01 Verfahren, dann bitte optional, denn sonst funktioniert das nicht mehr, wenn man einen externen DNS-Server betreibt. Die Methode mit Ablegen einer Datei im Webroot sollte also auf jeden Fall weiterhin auswählbar sein.
Viele Grüße,
Lars
Re: Wildcard Zertifikate
Hallo,
grundsätzlich ist für Let's Encrypt Wildcard auf jeden Fall ein entsprechender DNS Eintrag nötig, eine KeyHelp gesteuerte Verifikation ist daher nur möglich wenn der Server selbst auch für die Domains der zuständige Nameserver ist (oder die Einträge dann manuell gesetzt werden).
Zudem empfiehlt auch Let's Encypt für die üblichen Anwendungsfälle ein eigenes Cert pro zu sichernder Domain. Auch mit diesem Gedanken im Hinterkopf wäre ich hier persönlich nicht für ein "schnelles Update". Wildcard sollte dann entsprechend gut integriert werden und wie I_fish schrieb auch nur optional. IMHO ist das aktuelle Verfahren schon für 95% der Anwendungsfälle ausreichend. Bzgl der Optimierung der Anfragen bei vielen Subdomains wäre hier eher zu überlegen dann die Subdomains mit als SAN aufzuführen, sodass für Domain + existierende Subdomains nur ein Cert nötig ist.
grundsätzlich ist für Let's Encrypt Wildcard auf jeden Fall ein entsprechender DNS Eintrag nötig, eine KeyHelp gesteuerte Verifikation ist daher nur möglich wenn der Server selbst auch für die Domains der zuständige Nameserver ist (oder die Einträge dann manuell gesetzt werden).
Zudem empfiehlt auch Let's Encypt für die üblichen Anwendungsfälle ein eigenes Cert pro zu sichernder Domain. Auch mit diesem Gedanken im Hinterkopf wäre ich hier persönlich nicht für ein "schnelles Update". Wildcard sollte dann entsprechend gut integriert werden und wie I_fish schrieb auch nur optional. IMHO ist das aktuelle Verfahren schon für 95% der Anwendungsfälle ausreichend. Bzgl der Optimierung der Anfragen bei vielen Subdomains wäre hier eher zu überlegen dann die Subdomains mit als SAN aufzuführen, sodass für Domain + existierende Subdomains nur ein Cert nötig ist.
Viele Grüße,
Martin
Martin
Re: Wildcard Zertifikate
Ich hole den 3 Jahre alten Thread mal wieder hoch
Gibt es hier inzwischen etwas neues zu vermelden? Ist es vielleicht auf der Roadmap von Keyhelp, denn zu mindest in Keyhelp V21 (Build 2195) bekomme ich noch die Fehlermeldung:
"Ein Wildcard-Domainname in Kombination mit einem Let's-Encrypt-Zertifikat wird derzeit nicht unterstützt."
Gibt es hier inzwischen etwas neues zu vermelden? Ist es vielleicht auf der Roadmap von Keyhelp, denn zu mindest in Keyhelp V21 (Build 2195) bekomme ich noch die Fehlermeldung:
"Ein Wildcard-Domainname in Kombination mit einem Let's-Encrypt-Zertifikat wird derzeit nicht unterstützt."
Re: Wildcard Zertifikate
Für Wildcard Let's Encrypt ist eine DNS-Challenge notwendig, um die Inhaberschaft der Domain für die Let's Encrypt-CA zu bestätigen.
Wenn KeyHelp selbst für die DNS zuständig ist -> prinzipiell kein Problem.
Kommt die DNS von extern wirds schwieriger, da hier zunächst mit der Domainverwaltung kommuniziert werden muss.
=> Ist leider nicht mal eben zu machen. Steht aber noch auf dem Plan.
Wenn KeyHelp selbst für die DNS zuständig ist -> prinzipiell kein Problem.
Kommt die DNS von extern wirds schwieriger, da hier zunächst mit der Domainverwaltung kommuniziert werden muss.
=> Ist leider nicht mal eben zu machen. Steht aber noch auf dem Plan.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Wildcard Zertifikate
>Wenn KeyHelp selbst für die DNS zuständig ist -> prinzipiell kein Problem.
Bei uns ist KeyHelp für die DNS zuständig und wir haben einen managed Server bei Keyweb. Ist das also aktuell auch schon kein Problem das einzustellen?
Bei uns ist KeyHelp für die DNS zuständig und wir haben einen managed Server bei Keyweb. Ist das also aktuell auch schon kein Problem das einzustellen?
Re: Wildcard Zertifikate
Beide Fälle fordern größere Code-Umstrukturierungen. Also leider nein, das ist aktuell nicht mal eben so möglich einzustellen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Wildcard Zertifikate
Okay, danke für die Info. Aber gut zu wissen, dass Wildcard-Zertifikate schon auf der Roadmap von Keyhelp sind.
Ich nehme an wir erfahren in dem Newsletter von Keyweb von der Umsetzung oder wirst du auch daran denken es dann nach Umsetzung hier im Thread zu posten?
Ich nehme an wir erfahren in dem Newsletter von Keyweb von der Umsetzung oder wirst du auch daran denken es dann nach Umsetzung hier im Thread zu posten?
Re: Wildcard Zertifikate
Wenn es soweit ist, wird es in jedem Fall hier: https://changelog.keyhelp.de oder hier: https://news.keyhelp.de zu finden sein.
Auch wird es aller Voraussicht nach im Keyweb-Newsletter (der Text unterschiedet sich immer etwas vom Text auf https://news.keyhelp.de) erwähnt werden.
Auch wird es aller Voraussicht nach im Keyweb-Newsletter (der Text unterschiedet sich immer etwas vom Text auf https://news.keyhelp.de) erwähnt werden.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Wildcard Zertifikate
Sicherlich wird man auch hier im Forum zu gegebener Zeit darüber sprechen
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser