Mehrere Internet Sites mit SSL auf einem Domino Server?

[theWizard]

Hallo,

folgendes Szenario vorhanden sind
seite1.domain.de
seite2.domain.de
www.weiteredomain.de

Wildcard Zertifikat für *.domain.de vorhanden.

Internet-Sites Dokumente für alle drei angelegt.
http Zugriff funktioniert bei allen drei URLS
Wenn ich hab per https  zugreifen will, muss ich doch bei seite1 und seite2 unter Hostname die IPadresse und die url eintragen?

Sobald es bei beiden drin steht gehen die https anfragen von beiden urls an die erste Internet-Site - sprich eine wird falsch angezeigt.

Gibt es eine Möglichkeit mehr https Seiten unter verschiendenen URLs mit nur einer IP Adresse zu hosten?

Domino 9.0.1 FP6 läuft aktuell auf dem System

Besten Dank
Sebastian

[Tode]

NEIN. Im Domino passiert die Zuordnung zum passenden Internet- Site- Dokument für die kyr- Datei über die IP- Adresse, noch bevor der Header mit dem Hostnamen ausgewertet wird.
Du brauchst also mindestens 1 Dokument mit der Wildcard- kyr und der IP- Adresse für die Verschlüsselung.

Ob danach allerdings auf das "passende" Internet- Site- Dokument zurückgegriffen wird, um z.B. die Homepage auszulesen, kann ich Dir nicht sagen.

Prinzipiell ist es aber genau aus dem Grund so: Im Domino braucht man genausoviel IP- Adressen wie man verschiedene HTTPS- Seiten hat...

[Patrick Schneider]

Hi,

wir nutzen für solche Zwecke eine kleine VM mit Linux und HAProxy. Der HAProxy nimmt die SSL/TLS Anfragen entgegen und kann an Hand der angefragten URL (per SNI, Server Name Indication) dann die Anfrage an Domino weitergeben (HTTP), welcher dann die richtige Site nutzt.

Viele Grüße,
Patrick

[(h)uMan]

wir nutzen für solche Zwecke eine kleine VM mit Linux und HAProxy. Der HAProxy nimmt die SSL/TLS Anfragen entgegen und kann an Hand der angefragten URL (per SNI, Server Name Indication) dann die Anfrage an Domino weitergeben (HTTP), welcher dann die richtige Site nutzt.

Hallo Patrick,

habt ihr über HAProxy auch ein transparentes Failover realisiert?
Nutzt ihr die Lösung nur für https oder auch für andere Dienste wie LDAPs, IMAPs?

Hintergrund meiner Frage:
Wir überlegen unsere Umgebung, bestehend aus zwei physikalischen IBM Domino Servern, auch auf den Ports HTTPS (iNotes bzw. Webmail) und IMAPs mit transparenten Failover und Loadbalancing zu betreiben und schauen nach möglichen Lösungen.

Besten Dank vorab für Infos und Tipps aus der Praxis

Uwe

[Patrick Schneider]

wir nutzen für solche Zwecke eine kleine VM mit Linux und HAProxy. Der HAProxy nimmt die SSL/TLS Anfragen entgegen und kann an Hand der angefragten URL (per SNI, Server Name Indication) dann die Anfrage an Domino weitergeben (HTTP), welcher dann die richtige Site nutzt.

Hallo Patrick,

habt ihr über HAProxy auch ein transparentes Failover realisiert?
Nutzt ihr die Lösung nur für https oder auch für andere Dienste wie LDAPs, IMAPs?

Hintergrund meiner Frage:
Wir überlegen unsere Umgebung, bestehend aus zwei physikalischen IBM Domino Servern, auch auf den Ports HTTPS (iNotes bzw. Webmail) und IMAPs mit transparenten Failover und Loadbalancing zu betreiben und schauen nach möglichen Lösungen.

Besten Dank vorab für Infos und Tipps aus der Praxis

Uwe

Hallo Uwe,

transparentes HTTPS-Failover funktioniert damit ebenfalls (Session-Stickyness auf HAProxy-Seite + SSO mit LtpaToken-Konfiguration auf Domino-Seite und natürlich Domino-Clustering)
LDAPS, IMAPS und SMTP ebenfalls. Was vielleicht ein Nachteil ist: Durch den HAProxy kommen alle Requests nur von einer IP-Adresse (die des HAProxy-Servers) - wenn man Domino direkt als SMTP-Empfänger (MX) einsetzt, kann man dadurch natürlich kein DNS-Blacklist oder IP- bzw hostnamenbasierte Anti-Spam-Maßnahmen durchführen.

Viele Grüße,
Patrick

[(h)uMan]

LDAPS, IMAPS und SMTP ebenfalls. Was vielleicht ein Nachteil ist: Durch den HAProxy kommen alle Requests nur von einer IP-Adresse (die des HAProxy-Servers) - wenn man Domino direkt als SMTP-Empfänger (MX) einsetzt, kann man dadurch natürlich kein DNS-Blacklist oder IP- bzw hostnamenbasierte Anti-Spam-Maßnahmen durchführen.

Hallo Patricke,

vielen Dank für die Infos.

SMTP wäre kein Problem. Wir setzen vor den Domino-Servern mehrere Linux SMTP-Server als Relayer ein, die das ganze Thema Anti-Spam etc. behandeln.
Setzt ihr die freie HAProxy Version ein oder die Enterprise bzw. Aloha Variante?

Beste Grüße

Uwe

[Patrick Schneider]

Hallo Patricke,

vielen Dank für die Infos.

SMTP wäre kein Problem. Wir setzen vor den Domino-Servern mehrere Linux SMTP-Server als Relayer ein, die das ganze Thema Anti-Spam etc. behandeln.
Setzt ihr die freie HAProxy Version ein oder die Enterprise bzw. Aloha Variante?

Beste Grüße

Uwe

Kein Problem - wir nutzen den freie HAProxy in einer Debian VM.

Viele Grüße,
Patrick

[PGroh]

Hallo zusammen,

nach unserem Verständnis müsste es reichen

- das Wildcard SSL Zertifikat (kyr) im Server Dokument zu hinterlegen
- für jede Domain einen virtuellen Host zu definieren (übernimmt das Zertifikat aus dem Parent)
       - zusätzliche gewünschte Einstellungen pro virtuellen Host noch vornehmen ...
Auf dem Domino Server den http Task refreshen oder neustarten

Das sollte reichen

[umi]

Moin PGroh

Das Problem ist nicht das Zertifikat.
Du kannst 10 Internet Sites haben mit dem gleichen WildCard.kyr und es scheint zu funktionieren.
Probleme gibt es erst wenn Du verschiedene Homepages oder Redirections definierst. Dann wirst Du feststellen, dass
nur die Site gezogen wird, welche die IP eingetragen hat. Alle anderen Sites sind dem http task egal.

Dafür gibt es 2 Möglichkeiten. a) Proxy oder b) mehrere IP für den Domino