[TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Michael Ancutici michael.ancutici at uni-hohenheim.de
Di Mai 2 13:21:27 CEST 2017 

Hallo Stefanie,

dann sind das bei Euch nicht nur Subdomains? Und das DFN bietet Multidomainzertifikate an (zumindest www.tu-berlin.de kommt von DFN)?

Beste Grüße, Michael Ancutici



---------------------------------------------------------------------------------------
Michael Ancutici  | Web - Datenbanken – Kurse
Kommunikations-, Informations- und Medienzentrum (630) | Universität Hohenheim

Schloss-Westhof-Süd | 70599 Stuttgart
Tel.:  +49 711 459-22251 | Fax: +49 711 459-2349 | kim.uni-hohenheim.de | www.facebook.com/kimhohenheim


-----Ursprüngliche Nachricht-----
Von: typo3-ug-universities-de-bounces at lists.typo3.org [mailto:typo3-ug-universities-de-bounces at lists.typo3.org] Im Auftrag von Wenig, Stefanie
Gesendet: Freitag, 28. April 2017 12:40
An: TYPO3 Usergroup German Universities <typo3-ug-universities-de at lists.typo3.org>
Cc: Thomas Biwer <biwer at uni-trier.de>
Betreff: Re: [TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Hallo alle zusammen,
wir an der TU Berlin haben ein zentrales TYPO3-System mit ca 550 Domains, für die wir "Sammelzertifikate" betreiben. Der Betrieb geht auch bei über einen Loadbalancer. Wir haben dort 4 Virtual Servers mit je einer IP nach draußen. Unsere Domains sind verteilt auf diese 4 IPs. Genauer gesagt haben wir auch eine Verteilung der Domains auf 4 Zertifikate, die dem jeweiligen Virtual Server zugeordnet sind. 
Die Domains werden über SAN-Einträge (Subject Alternate Names) im Zertifikat verwaltet. Kommt eine neue Adresse in das TYPO3-System, muss also ein Zertifikat neu gebaut und die SAN-Liste erweitert werden. Hierfür gibt es bei uns ein Script, das alle paar Wochen mal ausgeführt wird und sich aus der DB alle Domains holt und diese den IPs zuordnet und dann die entsprechenden Zertifikatsrequests erzeugt. 

Viele Grüße
Stefanie Wenig

> Am 24.04.2017 um 11:01 schrieb Michael Ancutici <michael.ancutici at uni-hohenheim.de>:
> 
> Hallo zusammen,
> 
> wir haben ein Rapid SSL Wildcard Zertificat gekauft über die CertCenter AG ( https://www.certcenter.de/ssl/type/WC ) und kostet 374,85€ (incl. MwSt) für 3 Jahre. Abgedeckt ist eine Subdomainebene, also z.B. kim.uni-hohenheim.de - nicht aber www.kim.uni-hohenheim.de. 
> 
> Das benutzt unser zentraler Loadbalancer F5 für alle Subdomains (ich rate mal: so ca. 400). Diese Lösung ist sehr übersichtlich vom Pflegeaufwand. Neue Subdomains werden lediglich auf unserem Nameserver eingetragen und funktionieren dann gleich mit typo3. Es gibt noch ein paar eigenständige Domains, die über http laufen und lediglich auf eine verschlüsselte Subdomain weitergeleitet werden.
> 
> Beste Grüße, Michael Ancutici
> 
> 
> 
> ----------------------------------------------------------------------
> ----------------- Michael Ancutici  | Web - Datenbanken – Kurse 
> Kommunikations-, Informations- und Medienzentrum (630) | Universität 
> Hohenheim
> 
> Schloss-Westhof-Süd | 70599 Stuttgart
> Tel.:  +49 711 459-22251 | Fax: +49 711 459-2349 | 
> kim.uni-hohenheim.de | www.facebook.com/kimhohenheim
> 
> -----Ursprüngliche Nachricht-----
> Von: typo3-ug-universities-de-bounces at lists.typo3.org 
> [mailto:typo3-ug-universities-de-bounces at lists.typo3.org] Im Auftrag 
> von Stefan Beck
> Gesendet: Montag, 24. April 2017 09:14
> An: TYPO3-UG-Universities-DE at lists.typo3.org
> Cc: Thomas Biwer <biwer at uni-trier.de>
> Betreff: [TYPO3-UG Universities DE] Antw: Wildcard Zertifikat
> 
> Sehr geehrte Damen und Herren,
> 
> bei uns in Passau haben wir eine sehr ähnlich gelagerte Situation - und uns auch noch erst kürzlich damit befasst. Wir haben ca. 80 Subdomains und die meisten in der Ausprägung mit und ohne www. Von daher brauchen wir aus den genannten Gründen für jede - und auch für jede neue - Subdomain ein Zertifikat. Wildcard lehnt unser CISO auch strikt ab, selbst, wenn die PKI das bieten würde. Was sie übrigens tut, aber nur für "Subsubdomains".
> Bei uns lese ich nun mit einem Skript aus der Tabelle sys_domain die aktiven Domains aus und beantrage halt wohl unter übel immer dann, wenn eine neue Domain zu vergeben wäre, ein neues Zertifikat für alle Sub-Domains auf einmal. Dazu kann man ein Config-Skript generieren, das alle Domains enthält, was man dann zur Generierung des Zertifikats einfach nur noch übergeben muss.
> Letsencrypt wird bei uns auch kritisch gesehen. Von daher ist das momentan der kleinste Aufwand für uns.
> 
> Das andere ist - zumindest bei uns - ein politisches bzw.
> organisatorisches Problem. Man muss sich die Frage stellen, ob 
> wirklich jeder auch eine Subdomain braucht. Denn ob ich 
> subdomain.uni-passau oder uni-passau.de/subdomain habe, ist von der 
> Einprägsamkeit und Kürze her Jacke wie Hose. Vom Einrichtungsaufwand 
> sind das (auch schon ohne
> Zertifikat) aber bekannter Maßen Welten. Insofern habe ich einen 
> Vorschlag erarbeitet, wie wir in Zukunft damit bei uns verfahren und 
> wie wir auf mittel- und langfristige Sicht die Zahl der Subdomains 
> kleiner kriegen und ich hoffe, dass ich damit dann auch erfolgreich 
> bin ;)
> 
> 
> 
> 
> --
> Mit freundlichen Grüßen,
> Stefan Beck
> 
> Zentrum für Informationstechnologie und Medienmanagement Referat 
> Applikationen, Software Webadministrator
> 
> Universität Passau
> 94032 Passau
> Tel.: 0851-5091852
> Fax: 0851-5091802
> e-Mail: stefan.beck at uni-passau.de
> Internet: www.zim.uni-passau.de
> 
> 
>>>> "Sachse, Michael" <sachse at uni-trier.de> 24.04.2017 07:58 >>>
> Sehr geehrte Damen und Herren,
> 
> die Universität Trier betreibt für ihren Webauftritt TYPO3 als CMS in der Version 6.2. Unseren Kunden bieten wir an, per VHOST auf ihre Knoten zu verweisen. Wir haben derzeit ca. 500 VHOST-Einträge, jedoch keine entsprechenden Zertifikate. Die Folge ist, dass man nach dem Aufruf der Adresse https://[www.]vhost.uni-trier.de einen Zertifikatsfehler erhält.
> 
> Hier liegt natürlich die Verwendung eines Wildcard Zertifikats nahe, um den entsprechenden Namensraum *.uni-trier.de abzudecken. Leider bietet die PKI derzeit keine uns bekannte Möglichkeit, ein solches Zertifikat zu beantragen. Alternativ wäre denkbar, einen externen Provider heranzuziehen, um ein passendes Zertifikat zu erzeugen. Das ist allerdings mit zusätzlichen Kosten verbunden.
> 
> Es stellt sich nun die Frage, wie andere Universitäten mit dem Problem umgehen. Für entsprechende Hinweise wären wir sehr dankbar.
> 
> Mit freundlichen Grüßen
> 
> 
> Michael Sachse
> 
> ZIMK - Universität Trier
> Leiter Applikationen
> stellv. Abteilungsleiter Service und Applikationen Zentrum für 
> Informations-, Medien- und Kommunikationstechnologie
> D-54286 Trier
> Tel.: +49 651 201 3435
> Fax.: +49 651 201 3921
> E-Mail: sachse at uni-trier.de<mailto:sachse at uni-trier.de>
> Internet: http://www.zimk.uni-trier.de<http://zimk.uni-trier.de/>
> 
> _______________________________________________
> TYPO3-UG-Universities-DE mailing list
> TYPO3-UG-Universities-DE at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-
> de _______________________________________________
> TYPO3-UG-Universities-DE mailing list
> TYPO3-UG-Universities-DE at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-
> de
> 
> _______________________________________________
> TYPO3-UG-Universities-DE mailing list
> TYPO3-UG-Universities-DE at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-
> de
_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-de

More information about the TYPO3-UG-Universities-DE mailing list