Назад | Перейти на главную страницу

Let's Encrypt для имени хоста и связанных доменов работает, SSL не работает для других доменов на сервере Directadmin

Я хочу использовать сертификаты Let's Encrypt для своих доменов на сервере directadmin ...

Поскольку имя хоста работает, и я могу посещать имя хоста и панель управления directadmin через SSL, проблема в том, что я не могу заставить сертификаты работать для других моих доменов с помощью панели управления directadmin или SSH.

Что я пытался решить проблему?

  1. Как включить LetsEncrypt
  2. Отладка вручную /.well-known/acme-challenge/letsencrypt_12345

Скриншоты

Если я вхожу в SSH: я могу добавить до 100 (под) доменов к имени хоста, как я могу добавить сертификат Let's Encrypt для моего домена и заставить их работать? Я не хочу использовать сертификат имени хоста для доменов ..

редактировать 1

directadmin.conf

SSL = 1

enable_ssl_sni = 1

letsencrypt = 1

Вывод: grep well-known /etc/httpd/conf/extra/httpd-alias.conf

Псевдоним /.well-known /var/www/html/.well-known

Let's Encrypt работает, и сертификаты обновляются автоматически, единственные домены, которые могут его использовать, - это имя хоста и некоторые связанные домены. Установлена ​​последняя версия letsencrypt.sh для серверов directadmin. Я не могу использовать сертификаты для других моих доменов, размещенных на этом сервере ..

Пожалуйста, спрашивайте в комментариях, если вам нужна дополнительная информация по этому вопросу ..

Let's Encrypt не предлагает подстановочные сертификаты, но предлагает многодоменные сертификаты. Из их FAQ:

Let’s Encrypt предлагает сертификаты проверки домена (DV). Мы не предлагаем сертификаты проверки организации (OV), расширенной проверки (EV) или подстановочные сертификаты, в первую очередь потому, что мы не можем автоматизировать выдачу сертификатов этих типов.

Да, один и тот же сертификат может содержать несколько разных имен с использованием механизма альтернативного имени субъекта (SAN).

С SAN у вас есть один сертификат который охватывает все ваши домены. Поскольку соединение TLS устанавливается до того, как браузер отправит Host: заголовок, ваш HTTPD не знает, какой сертификат использовать для рукопожатия, и соответствует первому доступному сертификату, соответствующему IP-адресу. Поэтому было долгое эра вам действительно нужен был один IP-адрес для каждого сертификата. SAN был единственным способом иметь несколько сайтов HTTPS на одном IP-адресе, и сертификат необходимо было перевыпускать каждый раз, когда добавлялся новый псевдоним.

Это было до тех пор, пока Индикация имени сервера SNI, расширение TLS, которое позволяет клиенту включать запрошенное имя хоста в первое сообщение своего подтверждения SSL. SNI существует с OpenSSL 0.9.8f с октября 2007 года. Он уже много лет поддерживается всеми основными браузерами. Вы можете легко настроить его на Apache, он был поддержан Nginx начиная с 0.5.23 и был представлен в IIS 8.0.

Поскольку у вас уже есть несколько сертификатов вместо SAN, вы должны использовать SNI. Разрешение SNI возможно в DirectAdmin. К сожалению Serverfault не будет поддерживать панели управления веб-хостингом.