Certifikát SSL zástupných znaků Ev - certifikát pro všechny subdomény

Mám nastavení Plesk, které vydává certifikáty Letsencrypt a hostí část mých klientských webů. Při projíždění _acme-challenge a obdržení certifikátu se zástupnými znaky / instalace uvedeného certifikátu se zdá, že část subdomén, které u mě nejsou hostovány, stále způsobují chybu certifikátu.

Moje nastavení v DNS je aktuálně následující:

  • example.com - Informační web hostovaný na mém serveru Plesk.
  • dev.example.com - Samostatná vývojářská stránka hostovaná na jiné IP adrese, např 192.0.2.12
  • live.example.com - Jiná aplikace zcela, hostovaná mnou a pracující s aktuálním SSL

Pokud tomu rozumím, druhá strana z dev.example.com také je třeba nainstalovat zástupný certifikát na jejich konci? Nebo je něco v nepořádku se samotným mým certifikátem.

  • 1 „Nebo je něco v nepořádku se samotným mým certifikátem.“ Nikdo to nemůže vědět, protože neukazujete skutečná jména (a prosím, neodstraňujte to špatně, použijte example.com pokud opravdu potřebujete zástupný symbol, ale tím se výrazně sníží míra užitečných odpovědí) ani příslušný certifikát. Osvědčení se vztahuje na sadu jmen. „Zdá se tedy, že část subdomén, které u mě nejsou hostovány, stále způsobují chybu certifikátu.“ je očekáváno, pokud myslíte tím jménem, ​​které není v sadě, kterou certifikát pokrývá.
  • Mám ke své otázce přidat soubor .cert? Nebo jak to myslíte se samotným certifikátem? V případě potřeby mohu změnit názvy domén. A pomocí zástupného certifikátu by měl pokrývat všechny subdomény, že? I kdybych měl udělat test.example.com fungovalo by to. Alespoň tak chápu certifikáty

Na každý webový server hostující obsah pro doménu musí být nainstalován certifikát. Certifikát se zástupnými znaky, který získáte a nainstalujete na svůj server, bude zahrnovat pouze subdomény hostované na vašem serveru. Pokud má váš klient subdoménu hostovanou třetí stranou, bude tato třetí strana potřebovat vlastní certifikát.

Subdoména dev nemusí mít zástupný certifikát. Mohlo by to mít certifikát bez zástupných znaků, který by se vztahoval pouze na to dev.example.com který je získáván odděleně od zástupného certifikátu, který Plesk získá. Jinými slovy společnost provozující dev subdoména by mohla použít protokol výzvy HTTP k získání certifikátu LetsEncrypt bez jakéhokoli přístupu na váš server nebo DNS.

Další možností by bylo, kdyby váš klient zkopíroval certifikát, soukromý klíč a řetěz ze serveru Plesk na server pro dev doména. Nedoporučoval bych to dělat, pokud by proces nemohli automatizovat. Platnost certifikátů LetsEncrypt vyprší každé tři měsíce. Spoléhání se na ruční kopírování u takových krátkodobých certifikátů není obvykle dostatečně spolehlivé.

  • Chápu. Pravděpodobně jsem v tomto případě formuloval svoji otázku špatně, ale děkuji za vaši jasnou a výstižnou odpověď. Sdělím třetí straně, že si bude muset certifikát nainstalovat sami. Děkuji!

Pracoval pro vás: Charles Robertson | Chcete nás kontaktovat?