[gelöst] Zertifikat dynam. IP o. Domäne - Ist das möglich?

[Piepnase]

Hallo zusammen,
ich habe folgendes "Problem" zu lösen und weiß nicht wie bzw. ob das überhaupt geht. Hoffentlich erkläre ich das jetzt so, dass es verständlich ist:

Ausgangssituation:
Auf Server 1 (mit fester IP und Zertifikat ausgestattet) befindet sich derzeit eine Webseite im Teststadium. Innerhalb dieser Seite existiert ein Bereich, der nach Login über die Webseite den Zugriff auf sensible Daten ermöglicht. Zurzeit befinden sich auch diese Daten, weil es Testdaten sind, noch auf Server 1. Ein Zugriff via https ist kein Problem, da der Server über ein entsprechendes Zertifikat verfügt.

Planung des Seitenbetreibers (und mein Problempunkt):
Bevor die Seite online geht, sollen die sensiblen Daten auf einem vom Seitenbetreiber selbst betriebenen Server (ich nenne den mal Server 2) abgelegt werden. U. a. auch, weil es sich dabei um riesige Datenmengen handelt, die im Lauf der Zeit sehr umfangreiche Dimensionen annehmen werden. Server 2 steht also nicht bei einem Provider, sondern beim Seitenbetreiber. Server 2 verfügt auch nicht über eine feste IP, sondern über eine dynamische und er hat weder eine eigene Domain noch ein Zertifikat. Der "unkritische" Bereich der Webseite inkl. deren Domain, soll auf Server 1 (der mit Zertifikat) verbleiben und über diesen aus dem Internet aufgerufen werden.

Vom Seitenbetreiber gewünschter Ablauf:
Beim Aufruf der Webseite aus dem Internet und einloggen im Bereich für die sensiblen Daten soll eine sichere, verschlüsselte interne Weiterleitung von Server 1 auf Server 2 erfolgen, wo die sensiblen Daten abgelegt und verarbeitet werden sollen.

Soweit der Sachverhalt. Nun habe ich mich ein bisschen mit Zertifikaten befasst, weil ich für https ja ein Zertifikat benötige. Wenn ich das alles richtig verstanden habe, benötige ich für die Erstellung eines Server-Zertifikats aber zwingend eine Domain. Schließlich soll durch das Zertifikat ja auch gewährleistet werden, dass der angesprochene Server wirklich der richtige ist. Jetzt frage ich mich, wie das mit einer dynamischen IP und ohne eigene Domäne gehen kann (soll)?

Was ich geschrieben habe ist hoffentlich aussagekräftig und verständlich. Noch mehr hoffe ich, dass mir jemand hier im Forum helfen oder zumindest ein paar Tipps geben kann, ob und wie man das "Problem" bewerkstelligen kann.

Besten Dank schon mal fürs Lesen!

P.S. Auf Server 2 soll Debian Wheezy mit Apache 2, PHP5 und aktuelle MySQL-Version laufen. Für die Fernwartung wird SSH eingerichtet und einen SFTP-Zugang wird es auch geben.

[Dimejo]

Du könntest nginx auf Server 1 einsetzen um die normalen Inhalte auszuliefern, und bei Aufruf der sensiblen Daten als Reverse Proxy zu fungieren. Um die Verbindung zwischen den beiden Servern abzusichern kannst Du stunnel mit einem selbst erstellten Zertifikat einsetzen. Soweit eigentlich recht einfach.

Soweit der Sachverhalt. Nun habe ich mich ein bisschen mit Zertifikaten befasst, weil ich für https ja ein Zertifikat benötige. Wenn ich das alles richtig verstanden habe, benötige ich für die Erstellung eines Server-Zertifikats aber zwingend eine Domain. Schließlich soll durch das Zertifikat ja auch gewährleistet werden, dass der angesprochene Server wirklich der richtige ist. Jetzt frage ich mich, wie das mit einer dynamischen IP und ohne eigene Domäne gehen kann (soll)?

Du benötigst für ein Zertifikat zwar eine Domain, aber Du benötigst nicht eine Domain pro Zertifikat. Du hast ja schon eine Domain für Server 1, oder?
Wichtig ist bei einem Zertifikat, dass der Hostname im Zertifikat der selbe ist, den der Client aufruft. Das sollte theoretisch auch mit einer dynamischen IP funktionieren.

Sorgen würde ich mir in diesem Fall am ehesten um die Zuverlässigkeit der Verbindung machen. Ich habe schon private Anschlüsse gesehen die wochenlang stabil waren, und Business-Anschlüsse die 20 Verbindungsabbrüche pro Tag hatten. Selbst wenn Du die TTL der dynamischen IP so niedrig wie möglich einstellst wird Dich ein Verbindungsabbruch wahrscheinlich 2 Minuten und mehr kosten. Du kannst Dir damit ja selbst die Ausfallzeit berechnen, und Deinen Auftraggeber ob er das in Kauf nehmen will.

[Piepnase]

@Dimejo:
Vielen, vielen Dank für die sehr hilfreiche Info. Inzwischen hat sich der Auftraggeber durchgerungen. Es wird eine feste IP-Adresse und eine eigene Domaine für den Bereich eingerichtet. Damit ist die Zertifikaterstellung kein Problem mehr und von Server 1 kann direkt auf die Domaine verwiesen werden, die wiederum auf die IP von Server 2 zeigt. Wie so oft gilt: am Ende wird alles gut!

[Piepnase]

Will man verhindern, dass der Browser eine Meldung á la "Dieser Seite wird nicht vertraut! Ich kenne das Risiko..." ausspuckt, muss man bei CN zwingend eine Domain angeben. IP-Adresse, auch eine feste, reicht dazu nicht aus!