Eigenes Zertifikat oder let's Encrypt

cancel
Showing results for 
Search instead for 
Did you mean: 
r_wester
Active Member

Eigenes Zertifikat oder let's Encrypt

Hallo,

ich teste Allfresco Comunity (201702) auf einem Windows Server 2012 R2.

Ich möchte unser Wildcard Zertifikat einsetzen (oder über Let's Encrypt ).

Meine Recherchen liefern unterschiedlichste verwirrende Ergebnisse.

Bevor ich hier viel Zeit verliere möchte ich fragen, ob dies überhaupt vorgesehen ist und ob es eine Quelle gibt die das Vorgehen eindeutig für die oben genannte Umgebung definiert.

Der Server wird nicht hinter einem INBOUND Proxy gearbeitet. Es wird nur Port 8443 (oder auch ein anderer) auf den Alfresco Server weitergeleitet.

Danke

3 Replies
afaust
Master

Re: Eigenes Zertifikat oder let's Encrypt

Es ist durchaus vorgesehen das SSL Zeritifkat mit einem beliebigen, eigenen zu ersetzen. Let's Encrypt ist dabei eine z.Zt. häufig genutzte Variante aufgrund der Kostenfreiheit. Bei Kunden mit Windows Domäne wird i.d.R. ein Zertifikat von dieser Domänen ausgestellt. Wichtig ist nur, dass die Zertifikate des Servers sowie der genutzten CA korrekt in einen Java Keystore (+ CA in einen Truststore) gepackt und über den Tomcat SSL Connector referenziert werden. Meist ist es dazu notwendig über Werkzeuge wie openssl und/oder keystore die vorliegenden Zertifikate zwischen verschiedenen Formaten umzuwandeln.

Persönlich gibt es für mich keine Alternative zu einem Setup über einen vorgelagerten Proxy. Damit kann der Rechenaufwand für SSL von Java in eine etwas besser optimierte Ebene ausgelagert werden. Außerdem kann es die Konfiguration der SOLR Integration vereinfachen und in der Leistung optimieren, wenn z.B. die SSL Verschlüsselung hinter einem Proxy+Firewall nicht mehr verschlüsselt werden muss. Mit dem Proxy lässt sich dann auch noch Caching für statische Web-Resourcen sowie transparente Komprimierung von Antworten realisieren. Ganz zu schweigen von der Zugriffskontrolle auf rein interne APIs die nie von außen angesprochen werden sollten.

r_wester
Active Member

Re: Eigenes Zertifikat oder let's Encrypt

Hallo Herr Faust,

vielen Dank.

Ich werde mich bei Ihnen melden.

jacotec
Member II

Re: Eigenes Zertifikat oder let's Encrypt

Hallo Axel,

ich möchte hier mal 100% zustimmen! Ich habe eh eine Nginx-Proxy-VM unter ISPConfig, um verschiedenste Dienste unter einer Domain zugänglich zu machen ... diese Vorgehensweise kann ich nur jedem empfehlen!