[TYPO3-UG Universities DE] Antw: Wildcard Zertifikat
Stefan Beck
Stefan.Beck at Uni-Passau.De
Mo Apr 24 09:14:07 CEST 2017
Sehr geehrte Damen und Herren,
bei uns in Passau haben wir eine sehr ähnlich gelagerte Situation - und
uns auch noch erst kürzlich damit befasst. Wir haben ca. 80 Subdomains
und die meisten in der Ausprägung mit und ohne www. Von daher brauchen
wir aus den genannten Gründen für jede - und auch für jede neue -
Subdomain ein Zertifikat. Wildcard lehnt unser CISO auch strikt ab,
selbst, wenn die PKI das bieten würde. Was sie übrigens tut, aber nur
für "Subsubdomains".
Bei uns lese ich nun mit einem Skript aus der Tabelle sys_domain die
aktiven Domains aus und beantrage halt wohl unter übel immer dann, wenn
eine neue Domain zu vergeben wäre, ein neues Zertifikat für alle
Sub-Domains auf einmal. Dazu kann man ein Config-Skript generieren, das
alle Domains enthält, was man dann zur Generierung des Zertifikats
einfach nur noch übergeben muss.
Letsencrypt wird bei uns auch kritisch gesehen. Von daher ist das
momentan der kleinste Aufwand für uns.
Das andere ist - zumindest bei uns - ein politisches bzw.
organisatorisches Problem. Man muss sich die Frage stellen, ob wirklich
jeder auch eine Subdomain braucht. Denn ob ich subdomain.uni-passau oder
uni-passau.de/subdomain habe, ist von der Einprägsamkeit und Kürze her
Jacke wie Hose. Vom Einrichtungsaufwand sind das (auch schon ohne
Zertifikat) aber bekannter Maßen Welten. Insofern habe ich einen
Vorschlag erarbeitet, wie wir in Zukunft damit bei uns verfahren und wie
wir auf mittel- und langfristige Sicht die Zahl der Subdomains kleiner
kriegen und ich hoffe, dass ich damit dann auch erfolgreich bin ;)
--
Mit freundlichen Grüßen,
Stefan Beck
Zentrum für Informationstechnologie und Medienmanagement
Referat Applikationen, Software
Webadministrator
Universität Passau
94032 Passau
Tel.: 0851-5091852
Fax: 0851-5091802
e-Mail: stefan.beck at uni-passau.de
Internet: www.zim.uni-passau.de
>>> "Sachse, Michael" <sachse at uni-trier.de> 24.04.2017 07:58 >>>
Sehr geehrte Damen und Herren,
die Universität Trier betreibt für ihren Webauftritt TYPO3 als CMS in
der Version 6.2. Unseren Kunden bieten wir an, per VHOST auf ihre Knoten
zu verweisen. Wir haben derzeit ca. 500 VHOST-Einträge, jedoch keine
entsprechenden Zertifikate. Die Folge ist, dass man nach dem Aufruf der
Adresse https://[www.]vhost.uni-trier.de einen Zertifikatsfehler
erhält.
Hier liegt natürlich die Verwendung eines Wildcard Zertifikats nahe, um
den entsprechenden Namensraum *.uni-trier.de abzudecken. Leider bietet
die PKI derzeit keine uns bekannte Möglichkeit, ein solches Zertifikat
zu beantragen. Alternativ wäre denkbar, einen externen Provider
heranzuziehen, um ein passendes Zertifikat zu erzeugen. Das ist
allerdings mit zusätzlichen Kosten verbunden.
Es stellt sich nun die Frage, wie andere Universitäten mit dem Problem
umgehen. Für entsprechende Hinweise wären wir sehr dankbar.
Mit freundlichen Grüßen
Michael Sachse
ZIMK - Universität Trier
Leiter Applikationen
stellv. Abteilungsleiter Service und Applikationen
Zentrum für Informations-, Medien-
und Kommunikationstechnologie
D-54286 Trier
Tel.: +49 651 201 3435
Fax.: +49 651 201 3921
E-Mail: sachse at uni-trier.de<mailto:sachse at uni-trier.de>
Internet: http://www.zimk.uni-trier.de<http://zimk.uni-trier.de/>
_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-de
More information about the TYPO3-UG-Universities-DE
mailing list