Fórumok
Üdvözlet!
Be van állítva egy wildcard-os Let's Encrypt-es tanúsítvány egy Debian 11-es (11.4) kiszolgálóra. Nginx a webkiszolgáló. Viszont így jelenleg elhasal ha csak a domain nevét írjuk be a böngészőbe (pl: example.com). A többi cím megy rendesen (pl: test.example.com). A cél az lenne, hogy a sima example.com-ot beírva a böngészőbe minden gond nélkül menjen. Mit szükségesek módosítani a tanúsítványon, hogy az example.com is üzemeljen rendesen? Szükséges új Let's Encrypt-es tanúsítvány csak az example.com-ra?
Nagyon köszönöm!
Hozzászólások
A *.example.com az nem fedi le az example.com-ot. Úgy generáld a certificate-et, hogy multi domain legyen, azaz a example.com és a *.example.com is legyen benne. Pl:
acme.sh --issue -d example.com -d *.example.com
https://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer
Nem az volt, hogy a lets nem támogat wildcard-ot? Vagy lemaradtam?
https://community.letsencrypt.org/t/acme-v2-production-environment-wild…
4 éve tamogatja
https://letsencrypt.org/docs/faq/#does-let-s-encrypt-issue-wildcard-cer…
https://www.youtube.com/watch?v=xCf4WebvCF8&t=181s&ab_channel=TonyTeachesTech
És van arra esetlegesen mód/lehetőség, hogy a már élő wildcard-os tanúsítványt bővíteni (nem újat generálni/kérni stb.), hogy üzemeljen az example.com is?
A bővítés az az új cert generálásával történik. Ameddig nem léped túl a limiteket (azt hiszem egy héten belül 50 certet generálhatsz ugyanahhoz a domainhez, és kb. 100 certet óránként egy helyről) addig nincs gond.
https://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer
Nem, a szemantika nem engedi ezt meg.
A *.example.com tartalmú wildcard név azt jelenti, hogy olyan domain neved van, hogy az example.com előtt van egy pont is, az része a validációnak.
MIndenképp új tanúsítvány kell, de Let's Encrypt esetén ez 1-2 perc kérdése csak.
És érdemes visszavonni a mostani élő wildcard-os tanúsítványt és utána újat generálni? Már odafigyelve, hogy a *.example.com és a example.com is benne legyen. :)
sudo certbot certonly --manual -d *.example.com --agree-tos --no-bootstrap --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory --> korábban ezzel generáltuk a *.example.com-os wildcard-os tanúsítványt. Működne pluszban az example.com-al is?
Lehet hülyeség, de ha belerakod plusszba a -d example.com -ot is , akkor elvileg a certbot-nak fel kellene ajánlania hogy mit szeretnél az adott certtel, Expand / Replace -> elvileg Expand -al hozzá tudod csapni a mostanihoz.
Elvileg... meg google szerint. De passz hogy gyakorlatban ez megy-e.
ps.: lehet totál hülyeség amit írtam, majd valaki kijavít :). Esetleg egy --dry-run -al meg lehet nézni mi történne.
És érdemes visszavonni a mostani élő wildcard-os tanúsítványt és utána újat generálni?
Nem kell visszavonni. Csinálsz egy újat, amiben mind a kettő benne van, és utána azt használod. A régi meg majd lejár...
90 naponként úgyis újra kell kreálnod, szóval nem mindegy, hogy most kreálod újra jól vagy kicsit később?
https://iotguru.cloud
Ez is teljesen jogos felvetés.
sudo certbot certonly --manual -d *.example.com -d example.com --expand --agree-tos --no-bootstrap --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory --> Ez a parancs működne? Bővítené a már meglévő *.example.com wildcard-os tanúsítványt example.com-os címmel?
Nem ártana némi apostol a '*wildcar' köré.
tegyél mellé egy --dry-run -t és akkor nem változik semmi, csak lefuttatja "szimulációként" hogy mi történne. Ha dry-runnál nincs error, akkor mehet --dry-run nélkül. És ahogy fentebb* :) írták egy "*.example.com" <- legyen ne csak úgy álá nátur.
Az utolsó mondatot nem teljesen értem, hogy hogyan gondoljátok. Hogyan gondoljátok a domain-eket felsorolni a parancsba?
...... certonly --manual -d "*.example.com" -d example.com .... <-
^^ oda a *.example.com -hoz kellene egy idézőjel " " , vagy akár egy ' ' zárás ^^ ennyi
Igaz, jogos. Köszönöm!