Domainnamen, DNS-Einträge und Zertifikate für eine Website

Diese Seite beschreibt, wie Sie den Domainnamen für Ihre Website bekommen, und welche DNS-Einträge dafür gemacht werden müssen. 

Auf den Punkt gebracht

Damit Ihre Website im Web erreichbar ist, müssen die folgenden Bedingungen erfüllt sein:

  1. Der Domainname und ggf. die Aliasnamen der Website müssen im DNS eingetragen sein (Aufgabe des LRZ-DNS-Teams).

  2. Die DNS-Einträge für die Domainnamen müssen auf den richtigen Webserver-Daemon-Pool verweisen (Aufgabe des LRZ-DNS-Teams).

  3. Alle Domainnamen für die Website müssen webserverseitig konfiguriert sein (Aufgabe des LRZ-Webhosting-Teams).
  4. Von der Art des Domainnamens und wie er verwaltet wird, hängt der Aufwand für ein Server-Zertifikat ab.

Einführung

Damit eine Website unter ihrem Namen gefunden werden kann, benötigt es einen sogenannten DNS-Eintrag. Mithilfe eines DNS-Eintrags wird der Name mit einem bestimmten Rechner verknüpft, wie zum Beispiel unserem Website-Pool mit Ihrem Webauftritt.

Damit Ihre Website im Web erreichbar ist, müssen die folgenden Bedingungen erfüllt sein:

  1. Der Domainname (und ggf. die Aliasnamen) der Website müssen im DNS eingetragen sein.

  2. Die DNS-Einträge müssen auf den richtigen Webserver-Daemon-Pool verweisen.

  3. Alle Namen müssen für die Website webserverseitig konfiguriert sein.

Punkt 1 und 2 werden vom DNS-Team des LRZ erledigt, Punkt 3 vom LRZ-Webhosting-Team.

Hinweis

Bei der Namensbeschaffung und DNS-Eintragung müssen meist Einrichtungen außerhalb des LRZ eingebunden werden (siehe unten). Dies kann mehrere Tage und in einzelnen Fällen auch mehrere Wochen dauern. Bitte berücksichtigen Sie dies bei Ihrer Zeitplanung.

 Server-Zertifikat

Die Kommunikation zwischen einem Server im Internet und Ihrem eigenen Computer, bei der Daten von einem zum anderen und zurück übertragen werden, erfolgt im Normalfall unverschlüsselt. Um ein unerwünschtes Ausspähen und Verändern von Daten bei der Übertragung zu verhindern, müssen darum zusätzliche technische Vorkehrungen getroffen werden. Dazu gehört heute bei den meisten Webseiten standardmäßig eine verschlüsselte Kommunikation. Mittels des Verschlüsselungsprotokolls TLS (früher SSL) wird denn die Kommunikation zwischen Ihrem Webbrowser und einem Webauftritt, den Sie mit Ihrem Browser aufrufen, verschlüsselt übertragen. 

Wenn Sie einen Webserver am LRZ betreiben, können Sie für diesen eine verschlüsselte Übertragung aktivieren.

Sicherheitszertifikate stellt das LRZ in Kooperation mit dem DFN (Deutsches Forschungsnetz) aus. Im Webhosting setzt das LRZ sogenannte Sammelzertifikate ein. Das bedeutet, dass es ein Sicherheitszertifikat für viele Domains gibt. Die einzelnen Domains stehen dabei im "Subject Alternative Name" des Zertifikats.

Grundsätzlich können alle DNS-Namen von Webservern, die am LRZ gehostet werden, in die Sammelzertifikate eingetragen werden, egal, ob es sich dabei um Subdomains zu Standard-Domains oder um Nicht-Standard-Domains handelt. Voraussetzung für eine Aufnahme eines DNS-Namens in die Sammelzertifikate ist jedoch stets die Erlaubnis des DFN. Für Subdomains zu Standard-Domains gilt diese Erlaubnis standardmäßig. Bei Nicht-Standard-Domains gibt es einen speziellen Prozess, damit auch diese DNS-Namen in die Sammelzertifikate aufgenommen werden dürfen. Näheres dazu finden Sie weiter unten.

Server certificate

Wie Sie einen Domainnamen für Ihre Website erhalten

Regelungen für die Namenswahl

Bei der Wahl eines oder mehrerer Domainnamen für Ihre Website sind Sie zumeist nicht völlig frei, sondern müssen sich ggf. an Vorgaben Ihrer jeweiligen Einrichtung halten. Zudem ist es meist erforderlich, dass die Namen von Ihrer Einrichtung explizit genehmigt werden.

EinrichtungVorgaben und Regelungen für DomainnamenGenehmigung
LMU

Artikel "Informationen zur Domainvergabe im LMU-Serviceportal" (zugriffsgeschützt)

via Formular
TUM

FAQ-Beitrag "Wie kann ich eine Internetdomain einrichten?"

durch den CIO bzw. den zuständigen IO
Sonstige Einrichtungen im Münchner Wissenschaftsnetz (MWN)Nicht einheitlich, Recherche Ihrerseits notwendigabhängig von der Einrichtung

Sonderfall: Websitename mit Nicht-Standard-Domain

Domainnamen mit einer sog. Nicht-Standard-Domain sind zwar grundsätzlich möglich, beinhalten jedoch einige Hürden:

  • Ein solcher Name muss immer von der jeweiligen Einrichtung gesondert genehmigt werden.

  • Die Beschaffung einer Nicht-Standard-Domain kostet Zeit und meist auch Geld. Hingegen sind Subdomains aus der Liste der Standard-Domains mit keinen zusätzlichen Kosten verbunden.
  • Eine Website mit einer Nicht-Standard-Domain wird nicht automatisch in unsere Sicherheitszertifikate aufgenommen, sondern es sind zusätzliche Schritte nötig.

Für das Zertifikat sind Freigaben der DFN-PKI nötig. Je nach Einzelfall erfordert dies einen organisatorischen Vorlauf von zwei Wochen bis mehreren Monaten. Je nachdem, ob die Domain am LRZ verwaltet wird oder extern, gibt es Unterschiede.

A. Die Domain wird am LRZ verwaltet

Wenn der Domainname über das LRZ beantragt wurde bzw. mit einem Domain-Umzug ans LRZ verlegt wurde, brauchen Sie nichts weiter zu unternehmen. Die Aufnahme in das Zertifikat erfolgt dann in einem festgelegten Prozess. Weil viele Schritte, Personen, Institutionen und Schnittstellen involviert sind, kann es etwas dauern.

B. Die Domain wird extern verwaltet 

Überlegen Sie, ob ein Domainumzug ans LRZ in Frage kommt, damit "A" in Frage kommt.

Falls das nicht möglich ist, folgen Sie der Anleitung "Fall 2: Sie hosten Ihre Domain selbst oder bei einem Drittanbieter"


Achtung!

Wenn Sie auf die Validierungsmail nicht reagieren (z.B. weil das hostmaster-Mailpostfach nicht überwacht wird), darf das LRZ für die entsprechende Domain kein Zertifikat mehr ausstellen. Das bedeutet, dass Ihre Domain bei einer künftigen Aktualisierung des Zertifikats (vermutlich innerhalb weniger Wochen) aus dem Zertifikat entfernt wird! Ihre Website wird dann unter dieser Domain nicht mehr per HTTPS erreichbar sein!

Erstellung der DNS-Einträge

Wenn Ihre Domain bei einem externen Provider gehostet oder lokal bei Ihrer Fakultät, Ihrem Institut etc. verwaltet wird, müssen Sie den Namen dort von jemanden ins DNS eintragen bzw. im DNS ändern lassen. Manchmal erfolgt die DNS-Eintragung auch gleich zusammen mit der Erteilung der Genehmigung, so dass Sie nicht noch einmal selbst um die Eintragung bitten brauchen.

Wenn Obiges für Sie nicht zutrifft, wenden Sie sich bitte über den LRZ-Servicedesk an das DNS-Team des LRZ und schicken dabei folgende Informationen mit:

  • Domainname (und ggf. Aliasnamen) Ihrer Website
  • formloser Nachweis (z.B. die weitergeleitete E-Mail des CIO), dass der gewünschte Domainname genehmigt wurde
  • Einrichtung, zu der Ihre Website gehören soll (LMU, TUM oder MWN)
  • IP-Adressen des Rechner-Pools, auf den der Domainname verweisen soll (s.u.)

Der Verweis auf den Server-Pool der Websites sollte möglichst über einen Alias-Eintrag (CNAME-Record) erfolgen. In manchen Fällen müssen allerdings die IP-Adressen direkt eingetragen werden (A-Record und AAAA-Record). Mehr Informationen zum technischen Hintergrund finden Sie in diesen Wikipedia-Artikeln: CNAME-Record, A-Record und AAAA-Record.

IP-Adressen unserer Webserver-Pools

Die untenstehende Tabelle zeigt die CNAMEs und IP-Adressen (IPv4 und IPv6) unserer Webserver-Pools für unsere Standard-Webhosting-Umgebungen.

EinrichtungCNAMEIPv4-AdresseIPv6-Adresse
LMUwwwv1.lrz.uni-muenchen.de

129.187.254.227

2001:4ca0:0:103::81bb:fee3

TUMwwwv4.tum.de

129.187.254.228

2001:4ca0:0:103::81bb:fee4

Sonstige Einrichtungen im Münchner Wissenschaftsnetz (MWN)wwwv1.mwn.de129.187.254.2522001:4ca0:0:103::81bb:fefc