# Letsencrypt: Einzelnes Zertifikat für mehrere Domains



## blubbb (9. Sep. 2017)

Hallo,

ich habe vor ein paar Tagen meinen Server von Grund auf neu einrichten müssen. Dabei stieß ich auf die automatische Letsencrypt-Funktion. Vorher hatte ich das manuell gemacht.

Ich habe eine einzige(!) IP für den Server, aber mehrere Domains, nachfolgend example1.de example1.com example2.de example2.com genannt.

example1.de und example2.de sind jeweils eigene Webseiten und haben getrennte Rootverzeichnisse. Daher existieren 2 Einträge in ISPConfig unter "Websites".

example1.com und example2.com sind jeweils Aliases der eben genannten Seiten. Haben also jeweils einen Eintrag unter "Aliasdomains".

ISPConfig holt mir von Letsencrypt jetzt 2 Zertifikate ab! Eins für example1.de (inklusive example1.com) und eines für example2.de (inklusive example2.com).

Ist das so gewollt? Ich habe das früher anders gemacht (ein einzelnes Zertifikat für alles). Ich kann mich auch erinnern, dass man mir mal sagte "nur ein Zertifikat je IP".


----------



## nowayback (9. Sep. 2017)

nur ein zertifikat pro ip ist schon lange veraltet... seit sni und damit seit >xp und >ie8 glaube ich, kein problem mehr.

Tipp: SEO technisch sollte example1.com auf example1.de weiterleiteten und nicht den selben content anbieten wie example1.de. 

Das nun beide Domains in einem Zertifikat sind liegt genau daran dass die eine domain ein alias der anderen ist und dafür keine separaten zertifikate benötigt werden, weil sie das gleiche ziel haben. 

Also ja -> Feature und kein Bug.


----------



## blubbb (9. Sep. 2017)

Das wäre nicht schlimm, wenn ich keine Probleme hätte.

Ich verwende das Zertifikat auch für Postfix. Jetzt, wo es zwei sind, musste ich mich für eines entscheiden (Postfix kann kein SNI). Das Problem ist nun, dass zwar mail @ example1.com ok ist, aber mail @ example2.com Probleme macht, da das Zertifikat (Postfix verwendet das von example1.com) nicht für example2.com gilt. Gesendete Mails landen bei vielen Empfängern im Spam. 

Wie macht man das richtig?


----------



## nowayback (9. Sep. 2017)

es gibt eine nicht so schöne möglichkeit... dabei rufst du deinen certbot manuell auf und gibst ihm bei einem aufruf alle domains mit die in das zertifikat sollen. Wenn die alle richtig aufgelöst werden können, könnte das klappen. 
Möglichkeit 2 und eigentlich meine bevorzugte lösung (übrigends auch die aller größeren anbieter) wäre eine "Management Domain". Diese stellt ISPConfig bereit, stellt eine domain für imap/pop3/smtp bereit etc. Und dann kannst du dir dafür entweder je ein LE Zertifikat holen (wird wohl das einfachste und funktioniert mit ispconfig ootb), oder holst dir eines für alles von LE, oder kaufst die ein Wildcart Zertifikat für 38€ im Jahr oder wartest noch etwas bis LE Wildcart Zertifikate anbietet. Auf jeden Fall hast du dann alles sauber getrennt.


----------



## blubbb (9. Sep. 2017)

Ohje. Dann mache ich es lieber wie früher auf dem alten Server mit einem eigenen Script... Da ging immer alles in einem Rutsch.

Ich hatte auf eine komfortable Möglichkeit gehofft, aber ISPConfig scheint da noch nicht so ausgereift zu sein. Schade.


----------



## HSorgYves (10. Sep. 2017)

Doch ISPConfig ist schon ausgereift. Stell Dir mal vor das liegen 200 Domains auf einem Server, was nun?
Also SNI für die Kundendomains und eine Management Domain für den Mailversandt usw.


----------



## Till (10. Sep. 2017)

Zitat von blubbb:


> Ist das so gewollt? Ich habe das früher anders gemacht (ein einzelnes Zertifikat für alles). Ich kann mich auch erinnern, dass man mir mal sagte "nur ein Zertifikat je IP".


Ja, das ist so gewollt wie die anderen bereits ausgeführt haben und ISPConfig ist auch bereits ausgereift. Du scheinst noch nie größere Server oder ISP setups verwaltet zu haben, denn ansonsten wüsstest Du dass man nicht hunderte oder tausende Domains in ein SSL cert packen kann und ich würde auch nie die SSL Domains verschiedener Kunden in ein SSL Cert packen (geschweige denn dass ich mich sehr wundern würde wenn professionelle SSL authorities das mitmachen würden wenn Du Domains verschiedener Owner in ein extended validation cert bei denen packen willst), denn sonst würde sich Kunde B sehr freuen wenn er den Key und das Gemeinschaftscert hat um sich per SSL als Kunde A auszugben.


----------

