Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    HA Proxy Rewrite Rule vor Zertifikat möglich?

    Deutsch
    2
    2
    239
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Markus4210
      last edited by

      Hallo zusammen!

      Hab ein spannendes Problem.
      Ich habe zwei HA Proxy Frontends, eins auf port 80 und eins auf port 443.
      (Musste ich so machen weil ich für Kollegen auch Http Seiten Hoste).
      Das Frontend auf Port 443 teilt mein Wildcard Zertifikat aus.
      Jetzt habe ich aber das Problem wenn ein Request kommt mit z.B. https://www.subdomain.domain.com bekomme ich einen Zertifikatsfehler (SSL_ERROR_BAD_CERT_DOMAIN) weil ein Wildcard Zert ja mit subdomain fürs www nicht mehr gilt.
      Habe im Frontend zwar versucht eine rewrite Regel zu bauen, also auf https://subdomain.domain.com allerdings hilft das nichts da das Zertifikat ja schon vor dem Rewrite ausgeteilt wird.

      Hat da jemand eine Idee dazu?

      Besten Dank schonmal!

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        @Markus4210 said in HA Proxy Rewrite Rule vor Zertifikat möglich?:

        Jetzt habe ich aber das Problem wenn ein Request kommt mit z.B. https://www.subdomain.domain.com bekomme ich einen Zertifikatsfehler (SSL_ERROR_BAD_CERT_DOMAIN) weil ein Wildcard Zert ja mit subdomain fürs www nicht mehr gilt.
        Habe im Frontend zwar versucht eine rewrite Regel zu bauen, also auf https://subdomain.domain.com allerdings hilft das nichts da das Zertifikat ja schon vor dem Rewrite ausgeteilt wird.
        Hat da jemand eine Idee dazu?

        OK zuerst die Antwort die du nicht hören willst: 😁 Don't use f*reaking "www." with subdomains!

        Ist auch nicht böse gemeint, aber was du nicht hast, würde ich auch nicht annehmen. Manche Leute brauchen einfach die virtuelle Nackenschelle um zu begreifen, dass das Internet nicht "WWW." und dann noch irgendwas so dran ist 😉

        Andere Alternative wäre natürlich, dass du statt dem Wildcard ein SAN Zertifikat für die Domains auf dem Proxy nutzt, und bei diesem dann eben händisch alle Varianten einträgst, die der Proxy insgesamt nutzt (oder pro Backend, wenn es viele verschiedene werden, damit ein Zertifikat nicht absurd viele SANs hat). Oder du fängst an dein Wildcard um Wildcards der Subdomains zu ergänzen - was richtig häßlich wird. Da bei HTTPS / SNI die Domain klar ausgelesen wird und bei TLS dann auch ein Zertifikat anfragt, wirst du nicht umhin kommen, entweder ein gültiges Zert auszuliefern oder die ungewünschte Kombination abzuklemmen:

        Allerdings bekommst du da aus meiner Erfahrung im Hosting lediglich Kunden, die dann irgendwann fragen, warum denn www.xyz.abc.blabla.de nicht mehr geht weil das ging ja immer. Ist denen dann völlig wurscht, ob das eigentlich immer nur auf xyz.abc.domain.de weitergeleitet hat, weil "wir nutzen das aber so intern" oder "wir haben das jetzt irgendwo fest eingetragen" oder "das steht in unserem Flyer jetzt aber so drin..." 🤦
        Daher bin ich durchaus dafür, bei Second Level Domains (domain.tld) das "www" mitzunehmen (weil es eben vielfach mit oder ohne genutzt wird und mitunter nicht klar ist, ob Site A das mit oder ohne will und Site B das doch anders hat). Aber bei Subdomains hört bei uns der Spaß auf 😉 Wenn eine Schreibweise nicht genutzt wird und keinen wirklichen Sinn/Mehrwert hat und die Domain so in use ist, wird eben ein Fehler ausgegeben. Ich würde sogar einen Schritt weiter gehen und www.bla.blubb.de wenn nicht gewünscht einfach komplett den A Record entziehen, damit es gar nicht aufgelöst wird. Andernfalls erzieht man sich leider die Leute nur dazu, dass alles genutzt wird, ob gewollt/sinnvoll oder nicht :)

        Ich finde es da durchaus wichtig, sowas via A/AAAA Record abzuklemmen und gar nicht auszuliefern, damit auch keiner auf die Idee kommt, das zu nutzen, sich das bei Suchmaschinen festfrisst oder es vielleicht noch jemand irgendwie programmatisch nutzt. Alles schon erlebt, Kunde hat Wildcard, setzt das überall ein und weil irgendein Doofkopp mal intern www.b2b.domain.de genutzt hat - was nirgends stand - wurde ein Fass aufgemacht weil eine Zert Warnung kam. Dann hat man den Fall via nem extra Zert abgefangen damit Ruhe ist - und das wurde dann beim erneuern vergessen und die Warnung kam nach nem Jahr wieder - und weil der Dickkopp dann auch noch irgendwelche internen Prozesse und Abfragen da drauf gebastelt hat, gabs wieder Streß. Bis dann mal jemand die konkreten Domains etc. abgefragt hat und gesehen, dass das nie Anforderung war, es nicht mal im Kunden-eigenen Zert enthalten ist und eigentlich nur der Pappnase geschuldet war - und flugs wurde das Tool beim Kunden umgebaut und alle hatten Ruhe 😃

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.