Un domaine, 1 certificat, 2 serveurs, est-ce possible?

Support Debian
, ,
Tags: #<Tag:0x00007f509f67baa0> #<Tag:0x00007f509f67b848> #<Tag:0x00007f509f67b5f0>
#1

Bonsoir tout le monde,

Mes compétences en réseaux n’étant plus de première jeunesse, je viens ici solliciter votre aide.
J’ai un domaine chez IONOS qui me fournit gratuitement un certificat SSL.
Mon installation, sans parler du NAS, comporte 2 serveurs, un serveur domotique Jeedom et un serveur Octoprint, les 2 sous Debian buster (bullseye n’étant pas encore supporté).
J’ai, avec de grandes difficultés, réussi à configurer mon serveur domotique en HTTPS avec le certificat fourni. Je sais, je ne suis 0as trop doué.
Ma question est la suivante, est-il possible d’avoir 2 serveurs https sur le même domaine ou sous-domaine ?
Je peux créer autant de sous-domaines que je veux mais je ne pense pas que cela aide dans la mesure où ils pointeraient tous sur la même IP fixe.
De même, et à moins que je ne me trompe, je ne pense pas que des redirections de ports me permettent de pointer vers mes 2 serveurs de façon sécurisée.
Par ailleurs, serais-je obligé d’utiliser 2 certificats différents.
Beaucoup de questions dont j’ignore totalement les réponses.
Une âme charitable pourrait-elle m’aider ?
Par avance, merci.

Amitiés

Michel

#2

Non tu ne peux pas car le certificat correspond à un seul serveur, ou plutot une seule URL de type site.domain.tld.

#3

Bonjour à toi,

Alors, il semble que ta question ne soit pas claire parce que ma réponse est oui.
En fait, ça dépend des caractéristiques du certificat fourni par ton prestataire.
Si c’est un certificat gratuit, il y a des chances qu’il ne soit valable que pour un seul nom de domaine.
Tu peux configurer tes deux serveurs pour servir le même site, mais tu ne pourras pas choisir quel serveur te répondra.
Dans ton cas, il semble que les deux serveurs ne servent pas le même site, il faudra donc faire autrement.
Par exemple, si le certificat le permet et comme tes deux serveurs semblent être derrière la même box, tu peux les mettre sur deux ports différents pour faire la sélection.

#4

Le seul cas serait d’avoir un certificat sur le domaine seulement avec un wildcard, mais ça m’étonnerait pour un gratuit

#5

Il te faudra définir exactement ce qu’est ton certificat SSL, si c’est un wildcard alors tu pourra t’en servir comme tu semble le souhaiter, sinon il te faudra te contenter de protéger seulement une seul url.

Pour le fait de protéger plusieurs domaines sur plusieurs serveurs il est possible de placer ton certificat ainsi que ce qu’il faut sur un ou plusieurs proxy/loadbalancer/webserver à ton convenance.

si tu protège une url précisément et que tu peux complètement intégrer dans un framework tes sous-domaine comme composante de ton site alors une simple redirection web te permettra de rediriger les requêtes vers ton autre serveur web, attention toutefois les navigateur moderne protège contre ça … le mieux serait donc de pouvoir profiter d’un certificat let’s encrypt et de protéger url par url ou via un san l’enemble de tes domaines/sous domaines.

Le certificat offert par IONOS dans ce cas là peux être reservé pour l’utilisation d’un service mail par exemple :wink:

#6

le loadbalancer est le plus pratique.

Client -----> URL CERT LB -+--> SRV1 (URL1)
                           |--> SRV2 (URL2)

Un HAproxy par exemple qui porte le certificats, et qui suivant l’URI renvoi sur les serveurs; par exemple:

site1.mondomaine.tld -> serveur 1
site2.mondomaine.tld -> serveur 2

ou bien

www.mondomaine.tld/site1 -> serveur 1
www.mondomaine.tld/site2 -> serveur 2
#7

Bonjour et merci pour votre,
Mais… je n’ai pas compris grand chose.
Physiquement, j’ai 2 machines, un NUC qui héberge mon serveur domotique (Jeedom) sous apache2 et un RPI3b+ qui héberge mon Octoprint.
Les 2 machines sont effectivement derrière la même box sur la même plage réseau.
Cette box est desservie par un sous-domaine et le port 443 est redirigé vers ma box domotique sur laquelle j’ai installé le certificat IONOS dont j’ignore la nature si ce n’est qu’il est gratuit. Je l’ai fait en suivant un tuto et en créant le fichier sites-enabled-ssl.conf et ça a l’air de fonctionner très bien.
Entre parenthèses s’il faut acheter un 2ème certificat, je le ferais. Et s’il faut un certificat spécial, pourriez-vous m’expliquer ce qu’il faut et comment l’utiliser ?
Donc, à partir de ces éléments, quelle solution qui puisse m’être accessible pouvez-vous me conseiller ?
Encore une fois, merci de me lire et de m’aider.
Amitiés
Michel

#8

Si tu peux acheter un deuxième certificat, dans ce cas, fait la même chose que pur le premier avec ce nouveau certificat et ca ira bien en choisissant n autre port que le 443 (8443 par exemple).

#9

Merci pour cette explication brève mais claire.
Je vais voir ce qu’il en est.
Reste à savoir si le tuto pour Jeedom fonctionnera pour Octoprint.
Je vous tiendrais au courant.
A bientôt

#10

Je viens de voir que mon certificat actuel est de type wildcard.
Screenshot_20221108_111452
Pensez-vous que cela puisse m’aider et comment ?
IONOS ne propose aucun support sur les certificats pour mon pack.
A+

#11

Un Wildcard protège effectivement le nom de domaine et les sous-domaines, une aubaine pour toi, il te reste à mettre en place à moindre frais un Haproxy sur une des deux machines rediriger l’ensemble de tes connexions dessus et de là répartir les requêtes vers les backends adéquat.

Le certificat étant servi par le haproxy tu pourra alors passer en offloading pour l’ensemble de tes services pour plus de facilité.

Les mots clé étant Haproxy - Backend - Offloading :sweat_smile:

Je n’ai franchement pas le courage de te filer plus d’informations mais tu tient le bon bout pour arriver à ce que tu désire faire.

#12

Plus ça avance, plus j’ai l’impression de reculer.
Tes explications ont l’air simples et claires, mais je n’ai rien compris.
Je vais suivre tes conseils et fouiller, je dirais même creuser.
Si je touche le fond, j’enverrais un SOS.
Merci encore.

#13

Malgré tous vos conseils avisés, je n’ai pas réussi à faire ce que je voulais faire à la base.
J’ai donc réétudié mon besoin et me suis dit qu’il était possible qu’un simple VPN fasse l’affaire.
J’ai donc mis en place un serveur VPN chez moi et ça marche très bien comme ça.
Je me suis fait des nœuds au cerveau pour rien.
Seul mon serveur domotique a besoin du certificat que j’ai déjà mis en place sur son serveur Apache. Mon Octoprint, pour le moment, n’a pas ce besoin. Le jour où ça changera, je me remettrais les mains dans la graisse.
En attendant, je vous réitère mes remerciement pour votre aide.
Bonne journée