{"id":8211,"date":"2025-04-09T11:00:17","date_gmt":"2025-04-09T09:00:17","guid":{"rendered":"https:\/\/speefak.spdns.de\/oss_lifestyle\/?p=8211"},"modified":"2025-04-09T11:00:17","modified_gmt":"2025-04-09T09:00:17","slug":"ssl-zertifikate-auf-mehreren-apache-hosts-hinter-einer-domain","status":"publish","type":"post","link":"https:\/\/speefak.spdns.de\/oss_lifestyle\/ssl-zertifikate-auf-mehreren-apache-hosts-hinter-einer-domain\/","title":{"rendered":"SSL-Zertifikate auf mehreren Apache-Hosts hinter einer Domain"},"content":{"rendered":"

In Netzwerken mit mehreren Apache-Servern hinter einer gemeinsamen Domain gibt es verschiedene M\u00f6glichkeiten, SSL-Zertifikate zu verwalten und bereitzustellen. Jede L\u00f6sung bietet verschiedene Ans\u00e4tze, je nach den Anforderungen der Serverinfrastruktur. Dabei gibt es einige grundlegende Unterschiede hinsichtlich Redundanz, Sicherheit und Verwaltung der Zertifikate.<\/p>\n

Jede Methode hat ihre eigenen Vor- und Nachteile. Falls die Hosts unabh\u00e4ngig voneinander arbeiten sollen, ist das Kopieren des Zertifikats<\/strong> sinnvoll. Falls eine zentrale Verwaltung bevorzugt wird, bietet sich der SSL-Proxy<\/strong> an. SNI<\/strong> ist ideal, wenn verschiedene Zertifikate f\u00fcr mehrere Domains genutzt werden, w\u00e4hrend SAN-Zertifikate<\/strong> f\u00fcr mehrere Subdomains einer Domain eine einfache L\u00f6sung darstellen.<\/p>\n\n\n\n\n\n\n\n\n
Methode<\/th>\nVorteile<\/th>\nNachteile<\/th>\n<\/tr>\n<\/thead>\n
Kopieren des Zertifikats<\/strong><\/td>\nEinfach einzurichten, keine Abh\u00e4ngigkeit von einem Proxy<\/td>\nManuelles Kopieren bei Erneuerung notwendig<\/td>\n<\/tr>\n
SSL-Proxy<\/strong><\/td>\nZentralisierte Verwaltung, weniger Wartung<\/td>\nSSL wird nur am Proxy-Terminationspunkt gepr\u00fcft<\/td>\n<\/tr>\n
SNI<\/strong> (Server Name Indication)<\/strong><\/td>\nMehrere SSL-Zertifikate auf einer IP-Adresse<\/td>\n\u00c4ltere Clients unterst\u00fctzen es nicht<\/td>\n<\/tr>\n
SAN-Zertifikat<\/strong> (Subject Alternative Names)<\/strong><\/td>\nEin Zertifikat f\u00fcr mehrere Domains<\/td>\nAlle Hosts m\u00fcssen im Zertifikat enthalten sein<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\n

1. Kopieren des Zertifikats auf alle Hosts<\/h2>\n

Bei dieser Methode wird ein einzelnes SSL-Zertifikat auf alle Apache-Server verteilt, sodass jeder Host eine eigene verschl\u00fcsselte Verbindung bereitstellen kann.<\/p>\n

    \n
  1. Ermitteln des Zertifikatspfads auf Server 1:<\/strong>\n
    grep -Ri \"SSLCertificateFile\" \/etc\/apache2\/sites-enabled\/\r\n<\/pre>\n<\/li>\n
  2. Zertifikat und privaten Schl\u00fcssel kopieren:<\/strong>\n
    scp \/etc\/letsencrypt\/live\/example.com\/fullchain.pem server2:\/etc\/ssl\/certs\/\r\nscp \/etc\/letsencrypt\/live\/example.com\/privkey.pem server2:\/etc\/ssl\/private\/\r\n<\/pre>\n<\/li>\n
  3. SSL f\u00fcr Apache auf Server 2 konfigurieren (nano \/etc\/apache2\/sites-available\/default-ssl.conf):<\/strong>\n
    <VirtualHost *:443>\r\n    ServerName example.com\r\n    SSLEngine on\r\n    SSLCertificateFile \/etc\/ssl\/certs\/fullchain.pem\r\n    SSLCertificateKeyFile \/etc\/ssl\/private\/privkey.pem\r\n<\/VirtualHost>\r\n<\/pre>\n<\/li>\n
  4. SSl aktivieren und Apache neu starten:<\/strong>\n
    a2ensite default-ssl\r\nsystemctl restart apache2\r\n<\/pre>\n<\/li>\n<\/ol>\n
    \n
    2. SSL-Proxy zur Weiterleitung der SSL-Verbindung<\/h2>\n
    Ein zentraler Apache-Server nimmt SSL-Verbindungen entgegen und leitet sie unverschl\u00fcsselt an interne Apache-Hosts weiter.<\/p>\n
      \n
    1. SSL-Proxy-Modul aktivieren:<\/strong>\n
      a2enmod proxy proxy_http ssl\r\n<\/pre>\n<\/li>\n
    2. Apache als Proxy konfigurieren:<\/strong>\n
      <VirtualHost *:443>\r\n    ServerName example.com\r\n    SSLEngine on\r\n    SSLCertificateFile \/etc\/ssl\/certs\/fullchain.pem\r\n    SSLCertificateKeyFile \/etc\/ssl\/private\/privkey.pem\r\n    ProxyPass \/ http:\/\/192.168.1.2\/\r\n    ProxyPassReverse \/ http:\/\/192.168.1.2\/\r\n<\/VirtualHost>\r\n<\/pre>\n<\/li>\n
    3. Apache neu starten:<\/strong>\n
      systemctl restart apache2\r\n<\/pre>\n<\/li>\n<\/ol>\n
      \n
      3. Apache SNI (Server Name Indication)<\/h2>\n
      SNI erm\u00f6glicht es Apache, mehrere SSL-Zertifikate f\u00fcr unterschiedliche Domains auf derselben IP-Adresse zu verwalten.<\/p>\n
        \n
      1. Apache-Version \u00fcberpr\u00fcfen (ab 2.2.12 n\u00f6tig):<\/strong>\n
        apache2 -v\r\n<\/code><\/pre>\n<\/li>\n
      2. Mehrere SSL-VirtualHosts konfigurieren:<\/strong>\n
        <VirtualHost *:443>\r\n    ServerName domain1.com\r\n    SSLEngine on\r\n    SSLCertificateFile \/etc\/ssl\/certs\/domain1.pem\r\n    SSLCertificateKeyFile \/etc\/ssl\/private\/domain1.key\r\n<\/VirtualHost>\r\n\r\n<VirtualHost *:443>\r\n    ServerName domain2.com\r\n    SSLEngine on\r\n    SSLCertificateFile \/etc\/ssl\/certs\/domain2.pem\r\n    SSLCertificateKeyFile \/etc\/ssl\/private\/domain2.key\r\n<\/VirtualHost>\r\n<\/pre>\n<\/li>\n
      3. Apache neu starten:<\/strong>\n
        systemctl restart apache2\r\n<\/pre>\n<\/li>\n<\/ol>\n
        \n
        4. Verwendung von Apache SAN (Subject Alternative Names)<\/h2>\n
        Ein einzelnes SSL-Zertifikat kann mehrere Domains oder Subdomains enthalten, sodass nur ein Zertifikat f\u00fcr alle Hosts ben\u00f6tigt wird.<\/p>\n
          \n
        1. Let\u2019s Encrypt SAN-Zertifikat ausstellen:<\/strong>\n
          certbot certonly --standalone -d example.com -d sub1.example.com -d sub2.example.com\r\n<\/pre>\n<\/li>\n
        2. Apache so konfigurieren, dass das SAN-Zertifikat genutzt wird:<\/strong>\n
          <VirtualHost *:443>\r\n    ServerName example.com\r\n    ServerAlias sub1.example.com sub2.example.com\r\n    SSLEngine on\r\n    SSLCertificateFile \/etc\/letsencrypt\/live\/example.com\/fullchain.pem\r\n    SSLCertificateKeyFile \/etc\/letsencrypt\/live\/example.com\/privkey.pem\r\n<\/VirtualHost>\r\n<\/pre>\n<\/li>\n
        3. Apache neu starten:<\/strong>\n
          systemctl restart apache2\r\n<\/pre>\n<\/li>\n<\/ol>\n
          \n
          5. \u00dcberpr\u00fcfung des Zertifikats<\/h2>\n
          Um zu testen, ob das Zertifikat korrekt geladen wird, nutzen Sie folgenden Befehl auf Server 2:<\/p>\n
          openssl s_client -connect localhost:443 -servername example.com | openssl x509 -noout -text | grep -A2 \"Subject Alternative Name\"\r\n<\/pre>\n
          Falls das Zertifikat korrekt eingerichtet ist, sollten die zugeh\u00f6rigen Domains aufgelistet werden.<\/p>\n
          \n
          \"CC_BY_NC_SA\"by Speefak<\/p>\n","protected":false},"excerpt":{"rendered":"
          In Netzwerken mit mehreren Apache-Servern hinter einer gemeinsamen Domain gibt es verschiedene M\u00f6glichkeiten, SSL-Zertifikate zu verwalten und bereitzustellen. Jede L\u00f6sung bietet verschiedene Ans\u00e4tze, je nach den Anforderungen der Serverinfrastruktur. Dabei gibt es einige grundlegende Unterschiede hinsichtlich Redundanz, Sicherheit und Verwaltung der Zertifikate. Jede Methode hat ihre eigenen Vor- und Nachteile. Falls die Hosts unabh\u00e4ngig voneinander […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,40],"tags":[],"class_list":["post-8211","post","type-post","status-publish","format-standard","hentry","category-anleitungen","category-server"],"rttpg_featured_image_url":null,"rttpg_author":{"display_name":"speefak","author_link":"https:\/\/speefak.spdns.de\/oss_lifestyle\/author\/speefak_oss\/"},"rttpg_comment":0,"rttpg_category":"Anleitungen<\/a> Server<\/a>","rttpg_excerpt":"In Netzwerken mit mehreren Apache-Servern hinter einer gemeinsamen Domain gibt es verschiedene M\u00f6glichkeiten, SSL-Zertifikate zu verwalten und bereitzustellen. Jede L\u00f6sung bietet verschiedene Ans\u00e4tze, je nach den Anforderungen der Serverinfrastruktur. Dabei gibt es einige grundlegende Unterschiede hinsichtlich Redundanz, Sicherheit und Verwaltung der Zertifikate. Jede Methode hat ihre eigenen Vor- und Nachteile. Falls die Hosts unabh\u00e4ngig voneinander…","_links":{"self":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts\/8211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/comments?post=8211"}],"version-history":[{"count":0,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts\/8211\/revisions"}],"wp:attachment":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/media?parent=8211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/categories?post=8211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/tags?post=8211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}