Wie kann ich einen Teilbereich einer Website nur über SSL zugänglich machen
Hallo zusammen,
Unsere Firma hat eine Homepage (mit Typo3 erstellt). Nun haben wir in diese Homepage einen Closed User Bereich für unsere Mitarbeiter integriert.
Die Webseite ist natürlich ganz normal über http://meinesite.de ereichbar.
Der Server ist eine Linuxmaschine SLES 9.
Ist es möglich nur den Loginbereich SSL zu verschlüsseln?
Kann man überhaupt nur für Teilbereiche einer Webseite, die auf dem gleichen Server liegen SSL aktivieren oder ist es nur für die gesamte Seite möglich?
Also mein Wunsch wäre es sobald der Mitarbeiter auf das Login klickt soll es nur über https erreichbar sein. Allerdings ohne eine Weiterleitung auf einen anderen Server.
Für Lösungsvorschläge oder Anleitungen wäre ich sehr dankbar
Viele Grüße
Bobby
Unsere Firma hat eine Homepage (mit Typo3 erstellt). Nun haben wir in diese Homepage einen Closed User Bereich für unsere Mitarbeiter integriert.
Die Webseite ist natürlich ganz normal über http://meinesite.de ereichbar.
Der Server ist eine Linuxmaschine SLES 9.
Ist es möglich nur den Loginbereich SSL zu verschlüsseln?
Kann man überhaupt nur für Teilbereiche einer Webseite, die auf dem gleichen Server liegen SSL aktivieren oder ist es nur für die gesamte Seite möglich?
Also mein Wunsch wäre es sobald der Mitarbeiter auf das Login klickt soll es nur über https erreichbar sein. Allerdings ohne eine Weiterleitung auf einen anderen Server.
Für Lösungsvorschläge oder Anleitungen wäre ich sehr dankbar
Viele Grüße
Bobby
Please also mark the comments that contributed to the solution of the article
Content-Key: 61094
Url: https://administrator.de/contentid/61094
Printed on: April 26, 2024 at 12:04 o'clock
9 Comments
Latest comment
Hallo,
leider kann ich dir keine direkte Anleitung für den Apache geben, da ich mich beruflich hauptsächlich mit dem IIS beschäftige.
Grundsätzlich musst Du eigentlich nur beachten das du pro IP-Adresse nur eine SSL-Identität verwenden kannst weil SSL in der aktuellen Version keine Hostheader unterstützt.
Ich richte immer eine eigene Subdomain für den SSL-Bereich ein (z.B. ssl.meineseite.de).
Natürlich musst du dann darauf achten das Dein geschlossener Mitgliedrbreich auch komplett unterhalb des Docroots für ssl.meineseite.de liegt.
Wahrscheinlich wirst du ja für den Mitgliederbereich auch Cookies verwenden, hierzu solltest du noch beachten dass du die Cookies immer nur für die Domain ssl.meineseite.de ausstellst - das verhindert das diese ausgelesen werden können wenn sich z.b. auf Deiner eigentlichen seite www.meineseite.de XSS-Lücken eingeschlichen haben.
Viele Grüße,
Michl
leider kann ich dir keine direkte Anleitung für den Apache geben, da ich mich beruflich hauptsächlich mit dem IIS beschäftige.
Grundsätzlich musst Du eigentlich nur beachten das du pro IP-Adresse nur eine SSL-Identität verwenden kannst weil SSL in der aktuellen Version keine Hostheader unterstützt.
Ich richte immer eine eigene Subdomain für den SSL-Bereich ein (z.B. ssl.meineseite.de).
Natürlich musst du dann darauf achten das Dein geschlossener Mitgliedrbreich auch komplett unterhalb des Docroots für ssl.meineseite.de liegt.
Wahrscheinlich wirst du ja für den Mitgliederbereich auch Cookies verwenden, hierzu solltest du noch beachten dass du die Cookies immer nur für die Domain ssl.meineseite.de ausstellst - das verhindert das diese ausgelesen werden können wenn sich z.b. auf Deiner eigentlichen seite www.meineseite.de XSS-Lücken eingeschlichen haben.
Viele Grüße,
Michl
Ein Verzeichnis heißt http, das andere https.
Mußt Du nur noch einrichten.
Ach ja, wie das geht?
Das is immer so ein Problem mit Euch...
Ihr erwartet immer, daß man es Euch vorkaut...
Hier die Antwort auf ca. 90% der Fragen im Forum
Lonesome Walker
PS:
So, jetzt stellt sich nur die Frage, ob Du mit meinem ersten Hinweis umgehen kannst.
Hui, die erste Antwort ist ja noch viel besser...
Stellt sich die Frage, ob ich sie korrigieren soll, weil sie fachlich sowas von unterste Schublade ist, oder ob ich hier noch sehr viele weitere Besucher ins Verderben laufen lassen soll...
Mußt Du nur noch einrichten.
Ach ja, wie das geht?
Das is immer so ein Problem mit Euch...
Ihr erwartet immer, daß man es Euch vorkaut...
Hier die Antwort auf ca. 90% der Fragen im Forum
Lonesome Walker
PS:
So, jetzt stellt sich nur die Frage, ob Du mit meinem ersten Hinweis umgehen kannst.
Hui, die erste Antwort ist ja noch viel besser...
Stellt sich die Frage, ob ich sie korrigieren soll, weil sie fachlich sowas von unterste Schublade ist, oder ob ich hier noch sehr viele weitere Besucher ins Verderben laufen lassen soll...
Hallo,
@lonesome Walker: Ich finde, bei allem Respekt, das du in letzter Zeit mit bösartigen Antworten auf scheinbar "blöde" Fragen übertreibst. Auch mir, als ein klein wenig erfahrenem fällt Spontan keine Lösung ein, würde mich aber interessieren.
@Bobby, all: Was auf jeden Fall kein Problem ist, auf _einem_ Server sowohl eine unverschlüsselte Site (http), als auch eine verschlüsselte (https) laufen zu lassen. Beide benutzen unterschiedliche Ports. Allerdings sie meist auch unterschiedliche Sites. Das heißt, http://ich.de/index.htm ist eine andere Seite als https://ich.de/index.htm.
Aber schaue dir mal die Doku von typo3 an, und suche evtl. nach zusätzlichen Modulen. Ich kann mir nicht wirklich vorstellen, das es da keine Lösung gibt.
Lösung bitte hier posten.
Filipp
@lonesome Walker: Ich finde, bei allem Respekt, das du in letzter Zeit mit bösartigen Antworten auf scheinbar "blöde" Fragen übertreibst. Auch mir, als ein klein wenig erfahrenem fällt Spontan keine Lösung ein, würde mich aber interessieren.
@Bobby, all: Was auf jeden Fall kein Problem ist, auf _einem_ Server sowohl eine unverschlüsselte Site (http), als auch eine verschlüsselte (https) laufen zu lassen. Beide benutzen unterschiedliche Ports. Allerdings sie meist auch unterschiedliche Sites. Das heißt, http://ich.de/index.htm ist eine andere Seite als https://ich.de/index.htm.
Aber schaue dir mal die Doku von typo3 an, und suche evtl. nach zusätzlichen Modulen. Ich kann mir nicht wirklich vorstellen, das es da keine Lösung gibt.
Lösung bitte hier posten.
Filipp
Nun gut...
Man erstellt 2 Verzeichnisse, welche im Apachen auch bekannt gemacht werden sollten:
Das is das SSL-Verzeichnis, mal schnell aus dem Ärmel gescripted;
korrigiert mich, wenn ich irre
Ah ja, und da sollte man dann noch entsprechende Zertifikate haben...
Lonesome Walker
Man erstellt 2 Verzeichnisse, welche im Apachen auch bekannt gemacht werden sollten:
<IfModule mod_ssl.c>
<VirtualHost XXX.XXX.XXX.XXX:443 >
ServerName **www.example.com:443**
UseCanonicalName Off
ServerAlias www.example.com
DocumentRoot /var/www/httpsdocs
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
SSLEngine on
SSLVerifyClient none
SSLCertificateFile /var/certificates/ABCDEFGH
<Directory /var/www/httpsdocs>
SSLRequireSSL
</Directory>
</VirtualHost>
</IfModule>
Das is das SSL-Verzeichnis, mal schnell aus dem Ärmel gescripted;
korrigiert mich, wenn ich irre
Ah ja, und da sollte man dann noch entsprechende Zertifikate haben...
Lonesome Walker
Man erstellt 2 Verzeichnisse, welche im
Apachen auch bekannt gemacht werden sollten:
Apachen auch bekannt gemacht werden sollten:
Ja, aber das heißt ja auch, das man zwei komplett unterschiedliche Sites hat, oder? Was wiederum bedeutet, dass man nicht in der Hauptsite ein SSL-Teil hat, sondern dass man typo zweimal aufsetzen und pflegen müsste.
Filipp
Warum?
Man setzt nur den Admin-Bereich auf SSL...
schnipp-----
schnapp-----
Lonesome Walker
Man setzt nur den Admin-Bereich auf SSL...
schnipp-----
<Directory /var/www/httpsdocs>
SSLRequireSSL
</Directory>
Lonesome Walker