# SSL erstellen



## bobbybackblech (5. Okt. 2014)

Heyho,

ich habe mir gerade einmal die ISPC Manual geholt.
Dort steht drin, dass man pro SSL eine IP Adresse benötigt.
Ist das immer noch so ?

Sprich ich *muss* eine eigene / serperate IP Adresse für jedes SSL Zertifikat haben ?


----------



## nowayback (5. Okt. 2014)

google mal sni und schau dir vor- und nachteile an


----------



## Till (5. Okt. 2014)

Klassisches SSL benötigt eine eigene IP. Das ist nicht ISPConfig spezifisch sondern betrifft jegliche Form von Webserver setup. Wenn Du sicherstellen kannst dass keiner Deiner user enen alten Webbrowser verwendet, dann kannst Du auch SNI nutzen, also SSL mit geteilter IP Adresse. Nur wenn jemand einen alten Browser hat, insbesondere einen alten IE, dann erhält er bei SNI unter Umständen eine falsche Webseite ausgeliefert. SNI ist also für einieg projekte OK, für professionelle Shops die würde ich das Risiko nicht eingehen,


----------



## bobbybackblech (5. Okt. 2014)

Okay dann muss ich hier wohl oder übel noch zwei IP Adressen kaufen 
Ich hatte jetzt testweise einmal über ISPC ein SSL angelegt und erstellt.
Allerdings wenn ich in meinem Shopware Shop hier das SSL aktiviere bekomme ich ein "Diese Webseite ist nicht verfügbar".
Muss ich dann hier noch entsprechende Rewrite Rules anlegen ?
Zumal Shopware ja hier das SSL nur für den Checkout / Kasse / Formulare verwendet.

PS: Beeinflusst das eigentlich die Antwortzeit des Servers, wenn man hier bspw. 500 Webseiten auf eine IP laufen lässt ? Wäre es hier von der Antwortzeit her besser praktisch pro Webseite eine IP zu haben und hier auch entsprechend nur einen DNS A Record ? ( ohne Subdomains / Wildcard ). Oder hat das nichts mit der Response Time zu tun ?


----------



## nowayback (5. Okt. 2014)

Eine hohe Anzahl an Webseiten pro IP bringt keine messbaren Performanceeinbußen. Dein Problem wird früher oder später eher das wenn mal ein E-Mail Konto geknackt und Spam darüber verschickt wird, es alle Kunden mit der IP betrifft, weil die IP in den RBL's landet.


----------



## bobbybackblech (5. Okt. 2014)

Okay und wenn ich bspw. 100 DNS Records in einer Domain habe, bringt das Performanceeinbußen ?


----------



## nowayback (5. Okt. 2014)

nur 100? ne auf keinen fall, es sei denn der dns is nen taschenrechner


----------



## bobbybackblech (5. Okt. 2014)

Okay ich dachte nur das könnte sein 
Denn der Server hat komischerweise oft bei diversen Tools eine hohe erste Antwortzeit 
Und ich weiss nicht, was man hier noch verbessern könnte, damit man hier eine entsprechend niedrige Antwortzeit bekommt.


----------



## nowayback (5. Okt. 2014)

das kann viele ursachen haben... angefangen beim routing über cpu, ram und hdd/ssd, webserver, db server, die seite selbst - wenn z.b. viele bilder drauf liegen die geladen werden oder etliche css oder fonts, uvm.


----------



## bobbybackblech (5. Okt. 2014)

Okay .. Was könnte man denn bspw. am Routing verberssern ?
An der Hardware dürfte es nicht liegen, der Server hat momentan eine sehr niedrige Auslastung und läuft mit einer SSD. ( Hetzner )

Ich hatte jetzt testweise einmal über ISPC ein SSL angelegt und erstellt.
Allerdings wenn ich in meinem Shopware Shop hier das SSL aktiviere bekomme ich ein "Diese Webseite ist nicht verfügbar".
Muss ich dann hier noch entsprechende Rewrite Rules anlegen ?


----------



## nowayback (5. Okt. 2014)

Zitat von bobbybackblech:


> Okay .. Was könnte man denn bspw. am Routing verberssern ?


du gar nix



Zitat von bobbybackblech:


> uss ich dann hier noch entsprechende Rewrite Rules anlegen ?


das kann schon sein


----------



## Till (6. Okt. 2014)

Geht es bei der Seite mit der lahmen antwortzeit um shopware? Shopware ist ein "monster" von einer software, das braucht etwas um warm zu laufen also es müssen sich die caches füllen. wenn da wenig traffic drauf ist, leeren die sich wieder weil Inhalte verfallen. Ein anderer Flaschenhals ist oft MySQL, da kann man einiges optimieren, gerade bei InnoDB und MySQL 5.5 / 5.6.


----------



## bobbybackblech (7. Okt. 2014)

Es geht um Shopware genau.
Ja Shopware ist hier schon relativ mächtig.

Ich habe derzeit hier allerdings ein Problem mit einem SSL. Ich habe dieses über ISPC generiert.
Allerdings ist die URL nicht unter https:// erreichbar.
Muss ich hier zusätzlich auch noch entsprechend etwas in die NGINX Direktiven eingeben, sodass die Seite unter https:// erreichbar ist ?


----------



## nowayback (7. Okt. 2014)

Zitat von bobbybackblech:


> Es geht um Shopware genau.
> Ja Shopware ist hier schon relativ mächtig.


Wahnsinn... ich hab das Ding gerade mal getestet... das is ja extrem aufgeblasen... 15-30 css sind da keine Kunst. Dazu etliche Javascript Dateien. Dann natürlich die ganzen Bilder, kein Wunder dass das Ding so lahm ist. Der eingebaute HTTP Cache ist auch eher ein Witz. Ich würde hier auf jeden Fall zu einem eigenständigen System (z.B. shop.domain.de) ohne ISPConfig aber mit Nginx + ngx_pagespeed + Varnish raten. Wenn du virtualisierst wäre da ein eigener Container angebracht. Alles andere ist nichts halbes und nichts ganzes. 
Ich weiß, bei vielen Dingen bringt varnish nur 15-20% Geschwindigkeit, aber Varnish cacht fertig gerenderte Seiten. Bei einem System wie Shopware, sollte das jedoch deutlich mehr bringen.


----------



## bobbybackblech (7. Okt. 2014)

Ja ich denke ich teste das ganze auch einmal mit Varnishh, wenn ich das hinbekomme.
Shopware rückt da leider nicht mit Konfigurationen raus, da Shopware selbst Varnish erst ab der Enterprise für 15.000 EUR "verkauft" bzw sie es so vermarkten, dass man denkt das Varnish nur mit der Shopware Enterprise klappt ..

Bzgl. des Codes: Da hast du recht, allerdings handelt es sich hier um das mitgelieferte Template. Wir entwickeln hier eigene Templates, welche von den CSS / JS Dateien nicht sehr aufgebläht sind. Aber das mitgelieferte Template hat schon einige Dateien .. ja 
Und das Backend ist hier auch sehr happig ..

Bzgl. des SSL: Man sollte dieses natürlich auch aktivieren in der Checkbox ich doof


----------



## bobbybackblech (7. Okt. 2014)

Was mir noch einfällt bzgl. des SSL: Ich habe bereits eines gekauft vor 6 Monaten dieses kann ich ja noch weiter verwenden.
Müsste ich dann hier im SSL Tab nur cd CSR und Bundle eintragen ?
Oder muss ich erst ein Zertifikat erstellen, damit ein Key da ist, dann warten und danach entsprechend CSR und Bundle ändern ?


----------



## Till (7. Okt. 2014)

Du kanst auch ein bestehendes ssl cert nutzen, musst dann aber key, cert und bundle eintragen. csr ist egal, der wird nur zum beantragen eines ssl certs benötigt.


----------



## bobbybackblech (7. Okt. 2014)

Ich habe hier nur die Datei cert.crt und cert.cabundle

Fehlt dann hier der Key ? Muss ich mir dann noch hier den entsprechenden Key vom alten Hoster holen ?
Oder wird der Key durch ISPC generiert ?


----------



## Till (7. Okt. 2014)

Der key wird immer zusammen mit dem csr generiert, er gehört also zum Zertifkat dazu und ohne key ist es wertlos. Du musst den Key der damals bei Deinem anderen hoster erstellt wurde einfügen, sonst kann das Zertifikat nicht verwendet werden.


----------



## bobbybackblech (7. Okt. 2014)

Okay.
Und bei "SSL-Request" kommt was hinein ?

SSL-Zertifikat -> Privater Schlüssel
SSL-Request ->CSR
SSL-Zertifikat -> cert.crt Inhalt
SSL-Bundle -> cert.cabundle

ist das so korrekt ?

Muss ich bei einem vorhandenen Zertifikat noch etwas bestimmtes bei Firma, Bundesland etc. eintragen oder kann ich hier auch einfach "lorem ipsum" hineinschreiben ?


----------



## bobbybackblech (7. Okt. 2014)

Ich bekomme hier im nginx error log folgenden Fehler


```
2014/10/07 15:43:03 [emerg] 22950#0: SSL_CTX_use_PrivateKey_file("/var/www/clients/client4/web8/ssl/domain.de.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
```
Heisst das, dass der Private Schlüssel nicht mit dem cert.crt übereinstimmt ?

Wenn ich das SSL über ISPC gelöscht habe.
Kann ich die restlichen übrig gebliebenden Dateien in /ssl auch löschen und es dann nochmals versuchen ?


----------



## ramsys (7. Okt. 2014)

Zitat von bobbybackblech:


> Muss ich bei einem vorhandenen Zertifikat noch etwas bestimmtes bei Firma, Bundesland etc. eintragen oder kann ich hier auch einfach "lorem ipsum" hineinschreiben ?


Es kommt auf das Zertifikat an. Bei einer Domain-Validierung wird nur die Domain geprüft, bei der Inhaber-Validierung auch noch weitere Daten.


----------



## bobbybackblech (7. Okt. 2014)

Es ist nur ein Domain validiertes, allerdings bekomme ich obigen Fehler.


----------



## ramsys (7. Okt. 2014)

Ist die Datei "/var/www/clients/client4/web8/ssl/domain.de.key" denn vorhanden?


----------



## bobbybackblech (7. Okt. 2014)

ISPC lösche hier einfach nicht das Zertifikat ..
Ich denke es gibt da einen Konflikt zwischen einem vorher erstellten und dem jetzigen.

Ich denke ich kann die Dateien im ssl Ordner auch nicht einfach löschen ?
Ich habe schon 3 mal versucht auf "Zertifikat löschen" zu gehen aber er löscht es einfach nicht.


----------

