SSL Zertifikat

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von numx, 22.03.2007.

  1. numx

    numx Jungspund

    Dabei seit:
    19.09.2006
    Beiträge:
    14
    Zustimmungen:
    0
    Hallo Leute,

    ich habe mal eine Verständnisfrage zu SSL Zertifikaten. Mein Netz sieht folgendermaßen aus. Zum Internet hin befindet sich eine Firewall, hinter der Firewall (in der DMZ) steht ein Reverse Proxy und im internen Netz ein Web-Server mit einer Anwendung die man über das Internet erreichen kann. der Reverse Proxy sowie auch der Web-Server laufen auf Apache. Die Anfrage kommt vom Internet an die Firewall (Hardwaregerät eines bestimmten Herstellers) an. Die Firewall macht ein DNAT (externe IP --> IP vom Proxy) zum Reverse Proxy und der Proxy fragt dann beim Anwendungs-Server (Web-Server) nach. Der Web-Server wiederum antwortet dem Proxy und der Proxy gibt die Informationen dann über die Firewall an den Client zurück. Jetzt wollte ich mir ein SSL Zertifikat beschaffen um die Verbindung vom Client zum Proxy zu Verschlüsseln. Das Zertifikat muss auf dem Proxy-Server eingespielt werden da es auf der Firewall nicht möglich ist. Da der externe Client aber zuerst bei der Firewall anfragt und daurch die externe IP anspricht und nicht die IP vom Proxy weis ich nicht wie ich den Common Name wählen soll der im Zertifikat vom Proxy-Server steht. Gebe ich dem Common Name den ServerNamen (aus httpd.conf) vom Proxy baut sich zwar eine verschlüsselte Verbindung auf aber der Client bekommt eine Meckermeldung das das Zertifikat nicht vertrauenswürdig ist weil er ja die externe IP angefragt hat und nicht die direkt den ServerNamen wofür das Zertifikat ausgestellt ist. Kann mir vielleicht jemand eine Typ geben? Übrigends das Zertifikat ist bei einer Zertifizierungsstelle gekauft und gültig. Der Client bekommt halt nur die Meckermeldung weil er die externe IP anfragt und nicht den Namen des Proxy-Servers.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Moin, moin,

    ich habe Deinen Netzaufbau nicht komplett verstanden, vielleicht malst Du mal ein Bildchen.
    Zu den Zertifikaten, es gibt Zertifikate, die sind Domain-weit ausgestellt, d.h. man kann sie mit den verschiedensten IP-Adressen und Diensten verwenden. In Deinem Fall ist das Zertifikat auf eine feste IP ausgestellt, bzw. auf einen Namen der mit einer IP verbunden ist.
    Wenn der Client connecten wird das Zertifikat überprüft und dabei stellt der Client auch die Inkonsistenz fest und meckert. Entweder Zertifikat ändern oder die IP's bzw. Namen umstellen, damit es passt.

    Gruß
    Blur
     
  4. #3 damager, 23.03.2007
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    der common name im zertifikat muss mit dem dns-names übereinstimmen mit dem du den server aus dem internet aus ansprichst. das zertifikat selber muss (!) auf dem rproxy liegen :] dann sollte es auch keine meckermeldung geben....
     
Thema:

SSL Zertifikat

Die Seite wird geladen...

SSL Zertifikat - Ähnliche Themen

  1. Let's Encrypt stellt eine Million Zertifikate aus

    Let's Encrypt stellt eine Million Zertifikate aus: Das Projekt Let's Encrypt hat seit dem Beginn der offenen Betaphase vor knapp über drei Monaten eine Million Zertifikate ausgestellt. Weiterlesen...
  2. Zertifikatsdateien

    Zertifikatsdateien: Hallöchen und einen schönen Abend! Ich habe zurzeit folgendes Problem. Ich habe eine SSL Wildcard für subdomain (als Beispiel *.example.com). Ich...
  3. Let's Encrypt hat ein erstes Zertifikat freigegeben

    Let's Encrypt hat ein erstes Zertifikat freigegeben: Die Internet Security Research Group (ISRG) hat im Rahmen des Projekts »Let's Encrypt« ein erstes kostenloses Zertifikat freigegeben. Das Projekt...
  4. Chrome und Firefox sperren gefälschte Server-Zertifikate

    Chrome und Firefox sperren gefälschte Server-Zertifikate: Seit Freitag waren offenbar gefälschte Server-Schlüssel von Google im Umlauf. Google reagierte darauf, indem es die betroffenen Schlüssel im...
  5. Projekt »Let's Encrypt«: Kostenlose Krypto-Zertifikate für alle

    Projekt »Let's Encrypt«: Kostenlose Krypto-Zertifikate für alle: Das Projekt »Let's Encrypt« will die letzte Hürde für den flächendeckenden Einsatz von Verschlüsselung schließen: Signierte Schlüssel, denen man...