Current time: 11-05-2024, 07:08 AM Hello There, Guest! (LoginRegister)


Post Reply 
SSL Proxy Feature
Author Message
Master One Offline
Junior Member
*

Posts: 13
Joined: Jun 2009
Reputation: 0
Post: #1
Question SSL Proxy Feature
Hallo Leute!

Ich bin auf dieses Projekt über das Hetzner Forum gestoßen, und ich muß sagen, sehr beeindruckend! Keine Ahnung wie ich das bei meiner Suche nach einem freien Hosting-Panel übersehen konnte. Ich habe derzeit eine Testinstallation mit ISPConfig 3 am Laufen, bin damit aber nicht so recht glücklich, weswegen ich es wohl mal mit ispCP Omega versuchen werden.

Mein erstes Anliegen wäre die Implementierung eines SSL Proxy Features. Laut diesem Thread ist sowas ja offenbar schon für die nächste Version geplant.

Im IPv4 Adressraum wird es langsam eng, zusätzliche Subnetze kosten Geld, ebenso die SSL Zertifikate, deswegen ist es eine logische Schlussfolgerung, es zu ermöglichen, mit einer IP Adresse und nur einem SSL Zertifikat gleich einer ganzen Reihe an gehosteten Sites den sicheren Zugang zu gewähren, was folgendermaßen aussieht:

https://ssl.masterdomain.tld/www.domain.tld/

statt

https://www.domain.tld
Dieses "Shared SSL" kennt man ja eigentlich von den diversen ISPs, weswegen es mich auch wundert, daß dieses Feature bei keinem der freien Hosting-Panels zu finden ist.

Ein möglicher Lösungsansatz, über den ich schon im letzten Jahr gestoßen bin, sieht folgendermaßen aus:
Code:
RewriteLock     /var/lock/rewrite.lock

<VirtualHost 999.888.777.666:443>
  DocumentRoot "/home/www/web1/html/sslproxy"
  ServerName ssl.domain.de
  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  SSLCertificateFile /etc/httpd/ssl.crt/server.crt
  SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
  SSLEngine on
  # Rewrite-Engine einschalten fuer Umschreiben der URL
  RewriteEngine   on
  # Logging ausschalten mit folgenden Zeilen:
  #RewriteLog     /dev/null
  #RewriteLog     0
  RewriteLog      /var/log/httpd/sslproxy.log
  RewriteLogLevel 1
  RewriteMap      lowercase       int:tolower
  RewriteRule     ^/icons/(.+)  -                               [L]
  # Fuer MS Internet Explorer ab Version 6
  RewriteRule     ^/w3c/(.+)      -                               [L]
  # Kundendomain in Kleinbuchstaben umwandeln (fuer Datenbank-Lookup)
  RewriteRule     ^/([^/]+)/(.*)  /${lowercase:$1}/$2             [S=1]
  RewriteRule     ^/(.*)          /${lowercase:$1}
  # Wenn der Host noch nicht mit ssl.domain.de übereinstimmt dann leite weiter
  RewriteCond %{HTTP_HOST}                !^ssl.domain.de$
  RewriteRule     ^/(.*)                  https://ssl.domain.de/%{HTTP_HOST}/$1    [R]
  # Per Proxy Verbindung zu http://kundendomain/... aufbauen.
  RewriteRule     ^/(.*)                  http://$1               [P,L]

</VirtualHost>
Kann man das auf die Schnelle irgendwie in eine ispCP Omega Installation integrieren, oder heißt es auf die nächste Version zu warten?

P.S. Um nicht auf Deutsch/Englisch doppelt zu posten, wenn man beider Sprachen mächtig ist, besser hier posten, oder in der englischen Support Area? Anhand der Anzahl der Postings ist das deutsche Forum ja meilenweit über allen anderen.
(This post was last modified: 06-27-2009 04:47 PM by Master One.)
06-27-2009 04:43 PM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #2
RE: SSL Proxy Feature
Das hauptsächliche Problem das einer Implementierung im Weg steht ist FastCGI / Suexec...

IMHO kannst du keinen globalen VirtualHost einrichten, welcher dann Dateien aller User ausliefert, ohne die ganze Suexec Geschichte zu spühlen...


Das Argument mit den IP-Adresse sollte ja kein Argument sein als ISP. Keine IPs mehr? neue beantragen... Der Kunde muss das halt auch entsprechend bezahlen.


Seriöse Kunden möchten auch kein Link z.B. zur Billingsite à la ssl.provider.tld/supersicher/billing.php...

Das macht einen unprofessionellen Eindruck...
PS: Mit den immer neuen "Sicherheitsfeatures" in den Browser fragte ich mich gerade wielange es noch geht, bis bei einer solchen Seite eine Meldung kommt "Achtung Fisching !Sic versuch"

PS2: Um IP Adressen (nicht aber Zertifikate) zu sparen kannst du dir auch mal mod_tls anschauen... (Client muss SNI fähig sein..)
(This post was last modified: 06-27-2009 05:15 PM by rbtux.)
06-27-2009 05:10 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Master One Offline
Junior Member
*

Posts: 13
Joined: Jun 2009
Reputation: 0
Post: #3
RE: SSL Proxy Feature
Ok, neuer Ansatz: Implementierung auf Subdomainbasis, d.h. ein Client erstellt für seine Domain example.tld eine Reihe an Subdomains (sub1.example.tld, sub2.example.tld, sub3.example.tld), und möchte dann lediglich ein SSL Cert zur Sicherung aller Subdomains benutzen (also gemäß https://ssl.example.tld/sub1.example.tld/). Also ein SSL Proxy Feature als Ersatz für ein Wildcard-Cert.

Wäre das denn machbar?
06-27-2009 05:41 PM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #4
RE: SSL Proxy Feature
Das sollte problemlos möglich sein...
06-27-2009 06:28 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Master One Offline
Junior Member
*

Posts: 13
Joined: Jun 2009
Reputation: 0
Post: #5
RE: SSL Proxy Feature
Wie würde man das am besten lösen?

Wie sieht das angekündigte SSL Proxy Feature in ispCP Omega 1.0.1 dann aus (oder wurde die Idee wegen dem erwähnten Problem mit FastCGI / Suexec wieder fallen gelassen)?
06-27-2009 07:09 PM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #6
RE: SSL Proxy Feature
Soweit ich informiert bin, wurde nie offiziell ein SSL Proxy angekündigt...

Was angekündigt wurde ist:
Panel via SSL
User via SSL (Mit eigener IP/Zertifikat)

Ich gehe davon aus, dass dies auch so umgesetzt wird.


Hmm ich habe soeben dein Snippet angeschaut... Wenn ich das recht sehe dürfte das so funktionieren auch mit SSL Proxy... Ich werde das mal kurz testen...
Hmm also dein snippet funktioniert problemlos (natürlich funktionieren seite welche mit abosulten links etc. arbeiten ggf. nicht)


einfach unter /etc/apache2/site-available eine config mit dem snippet als inhalt anlegen...

natürlich muss das proxy modul und das rewrite modul aktiviert sein...


Eine Einschränkung sollte bei der Rewrite Methode eventuell noch gemacht werden... ansonsten können dadurch auch beliebige fremde seiten besucht werden...
(This post was last modified: 06-27-2009 07:40 PM by rbtux.)
06-27-2009 07:19 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Master One Offline
Junior Member
*

Posts: 13
Joined: Jun 2009
Reputation: 0
Post: #7
RE: SSL Proxy Feature
Also hier und hier wurde das in dieser Richtung erwähnt, wird dann aber wohl ein Mißverständnis sein.

Leider bin ich kein Rewrite-Profi. Welche Einschränkung wäre denn erforderlich, um diese Methode abzusichern?
06-27-2009 08:30 PM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #8
RE: SSL Proxy Feature
Code:
RewriteCond %{HTTP_HOST}                ^erlaubt.de$

vor der Rewrite Rule
Code:
RewriteRule     ^/(.*)                  https://ssl.domain.de/%{HTTP_HOST}/$1    [R]
06-27-2009 09:00 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Master One Offline
Junior Member
*

Posts: 13
Joined: Jun 2009
Reputation: 0
Post: #9
RE: SSL Proxy Feature
Gefällt mir, danke. Smile
06-28-2009 12:03 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)