[TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Wenig, Stefanie stefanie.wenig at tu-berlin.de
Fr Mai 5 13:30:11 CEST 2017 

Hi Thomas,

Am 02.05.2017 um 13:21 schrieb Michael Ancutici <michael.ancutici at uni-hohenheim.de<mailto:michael.ancutici at uni-hohenheim.de>>:

Hallo Stefanie,

dann sind das bei Euch nicht nur Subdomains?


die TUB-Einrichtungen haben die Möglichkeit, Domains unterhalb von tu-berlin.de<http://tu-berlin.de> zu erhalten, in deren Namensräumen dann Webadressen für die TYPO3- oder klassischen Webauftritte vergeben werden können. Für den TYPO3-Auftritt ist es dann zumeist www.DOMAIN.tu-berlin.de<http://www.DOMAIN.tu-berlin.de>. Bei den klassischen Auftritten sind die Einrichtungen freier und vergeben dann inhaltliche Hostnamen wie anmeldung.DOMAIN.tu-berlin.de<http://anmeldung.DOMAIN.tu-berlin.de>.

Noch dazu hostet unser NOC-Team einige externe-Domains, d.h. außerhalb des Namensraumes tu-berlin.de<http://tu-berlin.de>, für die wir dann auch Zertifikate bauen bzw. sie innerhalb des SAN-Eintrages verwenden könnten.

Du kannst dir ja auch einfach mal eines unserer Zertifikate ansehen. Unter den Erweiterungen findest du die SAN-Einträge.

Viele Grüße und ein schönes Wochenende!
Stefanie Wenig


Und das DFN bietet Multidomainzertifikate an (zumindest www.tu-berlin.de<http://www.tu-berlin.de> kommt von DFN)?

Beste Grüße, Michael Ancutici



---------------------------------------------------------------------------------------
Michael Ancutici  | Web - Datenbanken – Kurse
Kommunikations-, Informations- und Medienzentrum (630) | Universität Hohenheim

Schloss-Westhof-Süd | 70599 Stuttgart
Tel.:  +49 711 459-22251 | Fax: +49 711 459-2349 | kim.uni-hohenheim.de<http://kim.uni-hohenheim.de> | www.facebook.com/kimhohenheim<http://www.facebook.com/kimhohenheim>


-----Ursprüngliche Nachricht-----
Von: typo3-ug-universities-de-bounces at lists.typo3.org<mailto:typo3-ug-universities-de-bounces at lists.typo3.org> [mailto:typo3-ug-universities-de-bounces at lists.typo3.org] Im Auftrag von Wenig, Stefanie
Gesendet: Freitag, 28. April 2017 12:40
An: TYPO3 Usergroup German Universities <typo3-ug-universities-de at lists.typo3.org<mailto:typo3-ug-universities-de at lists.typo3.org>>
Cc: Thomas Biwer <biwer at uni-trier.de<mailto:biwer at uni-trier.de>>
Betreff: Re: [TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Hallo alle zusammen,
wir an der TU Berlin haben ein zentrales TYPO3-System mit ca 550 Domains, für die wir "Sammelzertifikate" betreiben. Der Betrieb geht auch bei über einen Loadbalancer. Wir haben dort 4 Virtual Servers mit je einer IP nach draußen. Unsere Domains sind verteilt auf diese 4 IPs. Genauer gesagt haben wir auch eine Verteilung der Domains auf 4 Zertifikate, die dem jeweiligen Virtual Server zugeordnet sind.
Die Domains werden über SAN-Einträge (Subject Alternate Names) im Zertifikat verwaltet. Kommt eine neue Adresse in das TYPO3-System, muss also ein Zertifikat neu gebaut und die SAN-Liste erweitert werden. Hierfür gibt es bei uns ein Script, das alle paar Wochen mal ausgeführt wird und sich aus der DB alle Domains holt und diese den IPs zuordnet und dann die entsprechenden Zertifikatsrequests erzeugt.

Viele Grüße
Stefanie Wenig

Am 24.04.2017 um 11:01 schrieb Michael Ancutici <michael.ancutici at uni-hohenheim.de<mailto:michael.ancutici at uni-hohenheim.de>>:

Hallo zusammen,

wir haben ein Rapid SSL Wildcard Zertificat gekauft über die CertCenter AG ( https://www.certcenter.de/ssl/type/WC ) und kostet 374,85€ (incl. MwSt) für 3 Jahre. Abgedeckt ist eine Subdomainebene, also z.B. kim.uni-hohenheim.de<http://kim.uni-hohenheim.de> - nicht aber www.kim.uni-hohenheim.de<http://www.kim.uni-hohenheim.de>.

Das benutzt unser zentraler Loadbalancer F5 für alle Subdomains (ich rate mal: so ca. 400). Diese Lösung ist sehr übersichtlich vom Pflegeaufwand. Neue Subdomains werden lediglich auf unserem Nameserver eingetragen und funktionieren dann gleich mit typo3. Es gibt noch ein paar eigenständige Domains, die über http laufen und lediglich auf eine verschlüsselte Subdomain weitergeleitet werden.

Beste Grüße, Michael Ancutici



----------------------------------------------------------------------
----------------- Michael Ancutici  | Web - Datenbanken – Kurse
Kommunikations-, Informations- und Medienzentrum (630) | Universität
Hohenheim

Schloss-Westhof-Süd | 70599 Stuttgart
Tel.:  +49 711 459-22251 | Fax: +49 711 459-2349 |
kim.uni-hohenheim.de<http://kim.uni-hohenheim.de> | www.facebook.com/kimhohenheim<http://www.facebook.com/kimhohenheim>

-----Ursprüngliche Nachricht-----
Von: typo3-ug-universities-de-bounces at lists.typo3.org<mailto:typo3-ug-universities-de-bounces at lists.typo3.org>
[mailto:typo3-ug-universities-de-bounces at lists.typo3.org] Im Auftrag
von Stefan Beck
Gesendet: Montag, 24. April 2017 09:14
An: TYPO3-UG-Universities-DE at lists.typo3.org<mailto:TYPO3-UG-Universities-DE at lists.typo3.org>
Cc: Thomas Biwer <biwer at uni-trier.de<mailto:biwer at uni-trier.de>>
Betreff: [TYPO3-UG Universities DE] Antw: Wildcard Zertifikat

Sehr geehrte Damen und Herren,

bei uns in Passau haben wir eine sehr ähnlich gelagerte Situation - und uns auch noch erst kürzlich damit befasst. Wir haben ca. 80 Subdomains und die meisten in der Ausprägung mit und ohne www. Von daher brauchen wir aus den genannten Gründen für jede - und auch für jede neue - Subdomain ein Zertifikat. Wildcard lehnt unser CISO auch strikt ab, selbst, wenn die PKI das bieten würde. Was sie übrigens tut, aber nur für "Subsubdomains".
Bei uns lese ich nun mit einem Skript aus der Tabelle sys_domain die aktiven Domains aus und beantrage halt wohl unter übel immer dann, wenn eine neue Domain zu vergeben wäre, ein neues Zertifikat für alle Sub-Domains auf einmal. Dazu kann man ein Config-Skript generieren, das alle Domains enthält, was man dann zur Generierung des Zertifikats einfach nur noch übergeben muss.
Letsencrypt wird bei uns auch kritisch gesehen. Von daher ist das momentan der kleinste Aufwand für uns.

Das andere ist - zumindest bei uns - ein politisches bzw.
organisatorisches Problem. Man muss sich die Frage stellen, ob
wirklich jeder auch eine Subdomain braucht. Denn ob ich
subdomain.uni-passau oder uni-passau.de/subdomain<http://uni-passau.de/subdomain> habe, ist von der
Einprägsamkeit und Kürze her Jacke wie Hose. Vom Einrichtungsaufwand
sind das (auch schon ohne
Zertifikat) aber bekannter Maßen Welten. Insofern habe ich einen
Vorschlag erarbeitet, wie wir in Zukunft damit bei uns verfahren und
wie wir auf mittel- und langfristige Sicht die Zahl der Subdomains
kleiner kriegen und ich hoffe, dass ich damit dann auch erfolgreich
bin ;)




--
Mit freundlichen Grüßen,
Stefan Beck

Zentrum für Informationstechnologie und Medienmanagement Referat
Applikationen, Software Webadministrator

Universität Passau
94032 Passau
Tel.: 0851-5091852
Fax: 0851-5091802
e-Mail: stefan.beck at uni-passau.de<mailto:stefan.beck at uni-passau.de>
Internet: www.zim.uni-passau.de<http://www.zim.uni-passau.de>


"Sachse, Michael" <sachse at uni-trier.de<mailto:sachse at uni-trier.de>> 24.04.2017 07:58 >>>
Sehr geehrte Damen und Herren,

die Universität Trier betreibt für ihren Webauftritt TYPO3 als CMS in der Version 6.2. Unseren Kunden bieten wir an, per VHOST auf ihre Knoten zu verweisen. Wir haben derzeit ca. 500 VHOST-Einträge, jedoch keine entsprechenden Zertifikate. Die Folge ist, dass man nach dem Aufruf der Adresse https://[www.]vhost.uni-trier.de einen Zertifikatsfehler erhält.

Hier liegt natürlich die Verwendung eines Wildcard Zertifikats nahe, um den entsprechenden Namensraum *.uni-trier.de<http://uni-trier.de> abzudecken. Leider bietet die PKI derzeit keine uns bekannte Möglichkeit, ein solches Zertifikat zu beantragen. Alternativ wäre denkbar, einen externen Provider heranzuziehen, um ein passendes Zertifikat zu erzeugen. Das ist allerdings mit zusätzlichen Kosten verbunden.

Es stellt sich nun die Frage, wie andere Universitäten mit dem Problem umgehen. Für entsprechende Hinweise wären wir sehr dankbar.

Mit freundlichen Grüßen


Michael Sachse

ZIMK - Universität Trier
Leiter Applikationen
stellv. Abteilungsleiter Service und Applikationen Zentrum für
Informations-, Medien- und Kommunikationstechnologie
D-54286 Trier
Tel.: +49 651 201 3435
Fax.: +49 651 201 3921
E-Mail: sachse at uni-trier.de<mailto:sachse at uni-trier.de><mailto:sachse at uni-trier.de>
Internet: http://www.zimk.uni-trier.de<http://zimk.uni-trier.de/>

_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org<mailto:TYPO3-UG-Universities-DE at lists.typo3.org>
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-
de _______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-
de

_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-
de
_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org<mailto:TYPO3-UG-Universities-DE at lists.typo3.org>
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-de

_______________________________________________
TYPO3-UG-Universities-DE mailing list
TYPO3-UG-Universities-DE at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-universities-de


--
Dipl.-Math. Stefanie Wenig
Leiterin der Abteilung Benutzerdienste
Technische Universität Berlin
tubIT - IT-Service Center

Einsteinufer 17, 10587 Berlin
Telefon: + 49 (0) 30 314 26270
Telefax: + 49 (0) 30 314 21060
stefanie.wenig at tu-berlin.de<mailto:stefanie.wenig at tu-berlin.de>

http://www.tubit.tu-berlin.de

More information about the TYPO3-UG-Universities-DE mailing list