# DNS, redirect und SSL-Zertifikat



## DelayHH (7. Juli 2015)

Hallo Zusammen,

dies ist mein erster Post und ich hoffe ich habe die richtige Kategorie getroffen.

Das Szenario:

Unsere Firmenwebside "firma.de" liegt auf dem Webspace unseres Hosters und wird mit ISPConfig 3 administriert. 
Ich habe eine subdomain eingerichtet "sub.firma.de" die auf einen bei uns intern betriebenen Webserver (IIS7) weiterleiten soll (Weiterleitungstyp L), auf dem eine Applikation läuft. Das eingetragene Ziel dieser Weiterleitung ist unsere feste ISP-IP. Unser Router schiebt dann weiter auf den Webserver. 
Dies funktioniert auch.

Die Anforderung ist allerdings dass dieser Zugriff SSL-Verschlüsselt funktioniert. 

Ich habe ein SSL-Zertifikat gekauft. Es ist ein EV SAN Zertifikat welches sowohl "firma.de" als auch "sub.firma.de" abdeckt. Dieses Zertifikat habe ich sowohl auf dem Webserver des hosters installiert als auch auf unserem internen Webserver.
 "https : //firma.de" funktioniert mit dem Zertifikat (Browserleiste wird EV-mäßig grün) 

"https : //sub.firma.de" hingegen funktioniert nicht. Es wird im Browser ein Zertifikatsproblem gemeldet. Das ist irgendwie logisch, denn nachdem die Weiterleitung gegriffen hat steht im Browser nicht mehr "https : //sub.firma.de" sondern "https : //unsere-ISP-IP", was natürlich nicht im Zertifikat steht. Mit klick auf "trotzdem verbinden" erreiche ich den Webserver, aber halt nicht wie gewünscht mit "grünem Balken"


Jetzt zu meinem Problem:

Um eben genau dieses Ändern des Ziels in der Browserleiste bei greifender Weiterleitung zu umgehen habe ich nun auf dem Webserver unseres Hosters in der DNS-Zone für "firma.de" einen A-Record Eintrag für "sub.firma.de" gemacht. Es half aber nicht. Es funktioniert weiterhin nicht.
Da DNS-Änderungen auch gerne mal etwas dauern, bis sie umgesetzt werden, habe ich das Wochenende abgewartet, jedoch leider auch ohne Erfolg.
Wo liegt mein Fehler? 

Mir ist allerdings noch etwas anderes aufgefallen. Scheinbar wird jede eingegebene subdomain, egal ob sie existiert oder nicht, vom Webserver beantwortet mit "IT WORKS"
Ich kann auch "diesesubdomaingibtesaufkeinenfall.firma.de" eingeben, der Webserver quittiert mit "IT WORKS"
Wenn ich ein DNS lookup auf "diesesubdomaingibtesaufkeinenfall.firma.de" heisst es es gäbe einen A-Record mit Ziel unsere Hoster-IP.
Kann es sein dass mir da etwas dazwischen funkt bevor meine DNS-Zone "firma.de" überhaupt erreicht wird?


Danke und viele Grüße 
Florian


----------



## nowayback (7. Juli 2015)

Hi,


Zitat von DelayHH:


> Ich habe eine subdomain eingerichtet "sub.firma.de" die auf einen bei uns intern betriebenen Webserver (IIS7) weiterleiten soll (Weiterleitungstyp L),





Zitat von DelayHH:


> "https : //sub.firma.de" hingegen funktioniert nicht. Es wird im Browser ein Zertifikatsproblem gemeldet. Das ist irgendwie logisch, denn nachdem die Weiterleitung gegriffen hat steht im Browser nicht mehr "https : //sub.firma.de" sondern "https : //unsere-ISP-IP", was natürlich nicht im Zertifikat steht.


Das Verhalten ist korrekt. Was du tun müsstest, damit es funktioniert ist einen A Record erstellen für sub.domain.de der auf eure feste IP vom ISP zeigt, wie du es ja schon getan hattest, und die weiterleitung selbst dazu löschen. Die wird nicht benötigt.



Zitat von DelayHH:


> Mir ist allerdings noch etwas anderes aufgefallen. Scheinbar wird jede eingegebene subdomain, egal ob sie existiert oder nicht, vom Webserver beantwortet mit "IT WORKS"


Dann hast du einen A Record für * im DNS 

Grüße
nwb


----------



## DelayHH (8. Juli 2015)

Moin,

Danke für die Antwort.
Den A-Record für sub.firma.de mit Zeiger auf unsere IP vom ISP habe ich gestern morgen erstellt. Die sollte so langsam aktiv sein. Leider wird nach wie vor nicht weitergeleitet.
Die angelegte Weiterleitung habe ich gelöscht, jetzt funktioniert der Zugriff natürlich nur wenn man direkt über die IP geht. Das ist nicht weiter tragisch, da das System noch nicht produktiv ist.

Im DNS ist kein A-Record für * eingetragen. Das ist es ja was mich so wundert. Ich bin mit ISPConfig noch nicht wirklich warm. Irgendwas ist mit dem DNS nicht in ordnung...


----------



## Till (8. Juli 2015)

Ist Dein ISPConfig denn überhaupt der "authoritive" dns server der Domain? Normalerweise ist der authoritive dns serverd er dns des providers über den Du die Domain registriert hast, Einträge in ISPConfig werden dann also nicht für das DNS verwendet.


----------



## DelayHH (8. Juli 2015)

Das ist eine sehr gute Frage. Offensichtlich ja nicht. Das erklärt auch warum meine DNS-Eingaben nicht greifen. Ich werde beim Hoster nachfragen. Guter Tipp, Danke!

EDIT: Ich ertrinke im Fluss der Scham 
ein simpler DNS Lookup zeigt:  NEIN, mein DNS ist nicht der authorisierende...
Ein Anruf mit den Änderungswünschen und Zack, läuft.... meine Güte...
Danke Till, Dein Ansatz brachte die Lösung!

Viele Grüße


----------

