[TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Michael Ancutici michael.ancutici at uni-hohenheim.de
Mo Apr 24 11:01:27 CEST 2017 

Hallo zusammen,

wir haben ein Rapid SSL Wildcard Zertificat gekauft über die CertCenter AG ( https://www.certcenter.de/ssl/type/WC ) und kostet 374,85€ (incl. MwSt) für 3 Jahre. Abgedeckt ist eine Subdomainebene, also z.B. kim.uni-hohenheim.de - nicht aber www.kim.uni-hohenheim.de. 

Das benutzt unser zentraler Loadbalancer F5 für alle Subdomains (ich rate mal: so ca. 400). Diese Lösung ist sehr übersichtlich vom Pflegeaufwand. Neue Subdomains werden lediglich auf unserem Nameserver eingetragen und funktionieren dann gleich mit typo3. Es gibt noch ein paar eigenständige Domains, die über http laufen und lediglich auf eine verschlüsselte Subdomain weitergeleitet werden.

Beste Grüße, Michael Ancutici



---------------------------------------------------------------------------------------
Michael Ancutici  | Web - Datenbanken – Kurse
Kommunikations-, Informations- und Medienzentrum (630) | Universität Hohenheim

Schloss-Westhof-Süd | 70599 Stuttgart
Tel.:  +49 711 459-22251 | Fax: +49 711 459-2349 | kim.uni-hohenheim.de | www.facebook.com/kimhohenheim

-----Ursprüngliche Nachricht-----
Von: typo3-ug-universities-de-bounces at lists.typo3.org [mailto:typo3-ug-universities-de-bounces at lists.typo3.org] Im Auftrag von Stefan Beck
Gesendet: Montag, 24. April 2017 09:14
An: TYPO3-UG-Universities-DE at lists.typo3.org
Cc: Thomas Biwer <biwer at uni-trier.de>
Betreff: [TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Sehr geehrte Damen und Herren,

bei uns in Passau haben wir eine sehr ähnlich gelagerte Situation - und uns auch noch erst kürzlich damit befasst. Wir haben ca. 80 Subdomains und die meisten in der Ausprägung mit und ohne www. Von daher brauchen wir aus den genannten Gründen für jede - und auch für jede neue - Subdomain ein Zertifikat. Wildcard lehnt unser CISO auch strikt ab, selbst, wenn die PKI das bieten würde. Was sie übrigens tut, aber nur für "Subsubdomains".
Bei uns lese ich nun mit einem Skript aus der Tabelle sys_domain die aktiven Domains aus und beantrage halt wohl unter übel immer dann, wenn eine neue Domain zu vergeben wäre, ein neues Zertifikat für alle Sub-Domains auf einmal. Dazu kann man ein Config-Skript generieren, das alle Domains enthält, was man dann zur Generierung des Zertifikats einfach nur noch übergeben muss.
Letsencrypt wird bei uns auch kritisch gesehen. Von daher ist das momentan der kleinste Aufwand für uns.

Das andere ist - zumindest bei uns - ein politisches bzw.
organisatorisches Problem. Man muss sich die Frage stellen, ob wirklich jeder auch eine Subdomain braucht. Denn ob ich subdomain.uni-passau oder uni-passau.de/subdomain habe, ist von der Einprägsamkeit und Kürze her Jacke wie Hose. Vom Einrichtungsaufwand sind das (auch schon ohne
Zertifikat) aber bekannter Maßen Welten. Insofern habe ich einen Vorschlag erarbeitet, wie wir in Zukunft damit bei uns verfahren und wie wir auf mittel- und langfristige Sicht die Zahl der Subdomains kleiner kriegen und ich hoffe, dass ich damit dann auch erfolgreich bin ;)




--
Mit freundlichen Grüßen,
Stefan Beck
 
Zentrum für Informationstechnologie und Medienmanagement Referat Applikationen, Software Webadministrator

Universität Passau
94032 Passau
Tel.: 0851-5091852
Fax: 0851-5091802
e-Mail: stefan.beck at uni-passau.de
Internet: www.zim.uni-passau.de


>>> "Sachse, Michael" <sachse at uni-trier.de> 24.04.2017 07:58 >>>
Sehr geehrte Damen und Herren,

die Universität Trier betreibt für ihren Webauftritt TYPO3 als CMS in der Version 6.2. Unseren Kunden bieten wir an, per VHOST auf ihre Knoten zu verweisen. Wir haben derzeit ca. 500 VHOST-Einträge, jedoch keine entsprechenden Zertifikate. Die Folge ist, dass man nach dem Aufruf der Adresse https://[www.]vhost.uni-trier.de einen Zertifikatsfehler erhält.

Hier liegt natürlich die Verwendung eines Wildcard Zertifikats nahe, um den entsprechenden Namensraum *.uni-trier.de abzudecken. Leider bietet die PKI derzeit keine uns bekannte Möglichkeit, ein solches Zertifikat zu beantragen. Alternativ wäre denkbar, einen externen Provider heranzuziehen, um ein passendes Zertifikat zu erzeugen. Das ist allerdings mit zusätzlichen Kosten verbunden.

Es stellt sich nun die Frage, wie andere Universitäten mit dem Problem umgehen. Für entsprechende Hinweise wären wir sehr dankbar.

Mit freundlichen Grüßen


Michael Sachse

ZIMK - Universität Trier
Leiter Applikationen
stellv. Abteilungsleiter Service und Applikationen Zentrum für Informations-, Medien- und Kommunikationstechnologie
D-54286 Trier
Tel.: +49 651 201 3435
Fax.: +49 651 201 3921
E-Mail: sachse at uni-trier.de<mailto:sachse at uni-trier.de>
Internet: http://www.zimk.uni-trier.de<http://zimk.uni-trier.de/>

_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-de
_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-de

More information about the TYPO3-UG-Universities-DE mailing list