Moin,

Ich brauche ein SSL-Zertifikat für einen Server, der allerdings hinter einer Firewall in einem sonst ziemlich leeren VLAN sitzt.
Kontakt nach draußen ausschließlich über Port-Forwarding zur Firewall.

Der Server gibt zur Kommunikation mit dem Client allerdings beim ersten Kontakt eine "External URL" zurück, diese kann ich selbst festlegen.
Derzeit ist es die IP der Firewall, andernfalls funktioniert die Kommunikation Server <> Client nämlich nicht mehr.

Kann ich ein Zertifikat für einen FQDN besorgen, das auf dem Server ablegen, und in unseren DNS-Servern den FQDN auf die Firewall mappen?
Bzw, das einzig wichtige - machen SSL und das Zertifikat das mit?

Bearbeitet 21. Januar 20196 j von RubberDog

Moin,

Zitat

Kann ich ein Zertifikat für einen FQDN besorgen, das auf dem Server ablegen, und in unseren DNS-Servern den FQDN auf die Firewall mappen?

Ja, das funktioniert. Wenn du beispielsweise Lets Encrypt Zertifkate nutzen möchtest, musst du zuerst Port Forwarding (HTTP) auf den Server einrichten und anschließend im DNS die gewünschte (Sub)Domain auf die öffentliche IP der Firewall anlegen. Dann kannst du ganz einfach mit einem ACME Client z.B. Certbot ein Zertifikat holen. Mit Zertifikaten von anderen öffentlichen CAs geht das natürlich auch ?

Falls du mehrere Webserver in der DMZ stehen hast (oder ggf. zukünftig), die ein Zertifikat brauchen, dann brauchst du ein Reverse Proxy.

Viele Grüße,

Exception

Bearbeitet 21. Januar 20196 j von Exception

Super, vielen Dank!