[TYPO3-german] HTTPS über Reverse Proxy / Mehrfachauftritte mit mehreren Domains / Domain handling generell (statisch vs. dynamisch)

Sybille Peters peters at rrzn.uni-hannover.de
Fri Aug 17 15:31:09 CEST 2012 

Hallo,

es geht um folgendes Thema: HTTPS-Umstellung mit einem Reverse Proxy, 
für das Arbeiten als eingeloggter backend-user und frontend-user und für 
einige ausgewählte Seiten. Das Ansurfen der "normalen" Webseiten als 
normaler User weiterhin über HTTP.

Ich habe jetzt mehrere Fragen / Vorschläge / Ideen / Probleme, die alle 
miteinander zusammenhängen. Daher hole ich hier ein bisschen weiter aus.

Wünschenswert wäre natürlich langfristig eine Lösung im TYPO3 core, wo 
keine zusätzlichen "Basteleien" in TS oder zusätzliche Extensions 
erforderlich sind.

Ich habe jetzt eine Lösung, die weitestgehend funktioniert, über 
folgende Einstellungen:
- modifizierte Extension https_enforcer
- localconf.php reverseProxyIP, reverseProxyPrefixSSL usw.
- Apache config rewrite-regel

Ein paar Fragen sind offen geblieben.

Wir betreueen mehrere Mehrfachauftritte (Eine TYPO3 Installation mit 
meheren Auftritten, der jeweils eine eigene domain zugeordnet ist.)
   - eine zentrale domain http://universaldomain.de/... 
(https://sslserver/universaldomain.de/...)
   - mehrere Einzeldomains: http://domain1.de, http://domain2.de usw. 
(https://sslserver/domain1.de/... https://sslserver/domain2.de)

PROBLEM: Die Einstellungen für HTTPS mit Reverse Proxy in der 
localconf.php, die sich auf das Arbeiten im Backend auswirken 
(reverseProxyIP, reverseProxyPrefixSSL usw.) werden zentral gemacht, es 
kann also mit der Lösung nur genau ein Prefix eingetragen werden. Das 
ist für solche Anwendungen unschön.

Dabei ist mir auch noch aufgefallen, dass es generelle Unterschiede gibt 
wie in TYPO3 das domain-Handling gemacht wird, bzw. wie Leute dies 
umsetzen.
1) fest eingestellte domain, z.B. auch Lösungen mit Setzen von 
config.baseURL. Auch in https_enforcer wird die domain bzw. der Prefix 
für den Reverse Proxy fest eingestellt
2) dynamisches domain-handling: aus der aktuell angesurften URL ergibt 
sich dynamisch die gerade aktuelle URL.

Ich bevorzuge die zweite Variante. Wenn das vom Core her nicht immer 
konsequent durchgezogen wird, Leute sich aber auf das eine oder andere 
verlassen, entstehen Probleme wie diese : 
http://forge.typo3.org/issues/36542

Jetzt meine Fragen:

1) Wie lösen das andere mit HTTPS über Reverse-Proxy (bei 
TYPO3-Installationen mit mehreren Unterauftritten und mehreren domains)? 
Da es hier um sicherheitsrelevante Themen geht, kann der Austausch auch 
gerne per Email erfolgen.
2) Insbesondere, wie wird dies bei Mehrfachauftritten gelöst?
3) Gibt es Alternativen zu reverseProxyPrefixSSL in der localconf.php?

(zur Zeit aktuelle 4.5.xx Version)

Viele Grüße,

Sybille

More information about the TYPO3-german mailing list