Aizstājējzīmes Ev SSL sertifikāts - sertifikāts visiem apakšdomēniem

Man ir Plesk iestatījums, kas izsniedz Letsencrypt sertifikātus un mitina daļu no manām klientu vietnēm. Kad iet garām _acme-challenge un, saņemot aizstājējzīmes sertifikātu / instalējot minēto sertifikātu, šķiet, ka daļa apakšdomēnu, kas netiek mitināti pie manis, joprojām rada sertifikāta kļūdu.

Mana iestatīšana DNS pašlaik ir šāda:

  • example.com - Informatīva vietne, kas mitināta manā Plesk serverī.
  • dev.example.com - Atsevišķa izstrādātāja vietne, kas mitināta uz citas IP adreses, piem 192.0.2.12
  • live.example.com - Pilnīgi cita lietojumprogramma, ko mitinu es un kas strādā ar pašreizējo SSL

Cik es to saprotu, otra puse no dev.example.com arī to galā jāinstalē aizstājējzīmes sertifikāts? Vai arī ar manu sertifikātu kaut kas nav kārtībā.

  • 1 "Vai arī manā sertifikātā kaut kas nav kārtībā." Neviens to nevar zināt, jo jūs neparādāt īstos vārdus (un, lūdzu, neaizskariet slikti, izmantojiet example.com ja jums patiešām ir nepieciešams vietturis, bet tas ievērojami samazinās noderīgo atbilžu skaitu), ne arī attiecīgais sertifikāts. Sertifikāts attiecas uz vārdu kopu. Tātad "šķiet, ka daļa apakšdomēnu, kas netiek mitināti pie manis, joprojām dod sertifikāta kļūdu". ir sagaidāms, ja ar to domājat nosaukumus, kuru nav komplektā, uz kuru attiecas sertifikāti.
  • Vai manam jautājumam jāpievieno .cert fails? Vai kā jūs domājat pašu sertifikātu? Ja nepieciešams, es varu mainīt domēna vārdus. Un, izmantojot aizstājējzīmes sertifikātu, tam jāaptver visi apakšdomēni? Pat ja man būtu jāizdara test.example.com tas darbotos. Vismaz tā es saprotu sertifikātus

Sertifikāts ir jāinstalē katrā tīmekļa serverī, kurā tiek mitināts domēna saturs. Aizstājējzīmes sertifikāts, ko iegūstat un instalējat savā serverī, attieksies tikai uz jūsu serverī mitinātajiem apakšdomēniem. Ja jūsu klientam ir apakšdomēns, kuru mitina trešā puse, šai trešajai pusei būs nepieciešams savs sertifikāts.

Dev apakšdomēnam nav jābūt aizstājējzīmes sertifikātam. Tam varētu būt aizstājējzīmes sertifikāts, kas attiecas tikai uz dev.example.com ko iegūst atsevišķi no aizstājējzīmju sertifikāta, ko iegūst Plesks. Citiem vārdiem sakot, uzņēmums, kas rīko dev apakšdomēns varētu izmantot HTTP izaicinājuma protokolu, lai iegūtu LetsEncrypt sertifikātu, bez piekļuves jūsu serverim vai DNS.

Vēl viena iespēja būtu klientam kopēt sertifikātu, privāto atslēgu un ķēdi no Plesk servera uz serveri dev domēns. Es neieteiktu to darīt, ja vien viņi nevarētu procesu automatizēt. LetsEncrypt sertifikātu derīguma termiņš beidzas ik pēc trim mēnešiem. Paļaušanās uz manuālu kopēšanu šādiem īslaicīgiem sertifikātiem parasti nav pietiekami uzticama.

  • ES redzu. Es droši vien šajā gadījumā savu jautājumu formulēju nepareizi, bet paldies par jūsu skaidro un kodolīgo atbildi. Es paziņošu trešajai pusei, ka viņiem pašiem būs jāinstalē sertifikāts. Paldies!

strādāja par jums: Charles Robertson | Vēlies ar mums sazināties?

noderīga informācija