У меня есть VPS centos6 с cpanel / whm, я перепродаю веб-пространство клиентам, для которых работаю в сфере ИТ. Мне интересно, существует ли такой сертификат ssl, чтобы я мог остановить предупреждение, которое мои клиенты видят при посещении отдельных URL-адресов веб-почты, таких как «webmail.examplesite.com» и «webmail.thiswebsite.com»
Я получаю ssl-сертификат для домена VPS (vps1.mydomain.com), чтобы мои клиенты могли использовать правильное ssl-соединение с электронной почтой, и мне интересно, могу ли я что-нибудь сделать, чтобы исправить это одним движением.
ПОСЛЕДУЮЩИЕ ДЕЙСТВИЯ С УСТАНОВЛЕННЫМ ОКОНЧАТЕЛЬНЫМ СЕРТОМ
Сертификат с подстановочными знаками теперь установлен и работает правильно для всех клиентов, обращающихся к Webmail, cPanel и направляющих серверы входящих / исходящих почтовых клиентов в домен хоста для доступа dovecot. Мы решили, что нет причин пытаться перенаправить другие протоколы за пределы HTTP, поэтому все клиенты будут перенаправлены на mail.vps.com для IMAP / POP3.
Для тех, кто хочет выполнить перенаправление вручную, вот информация из .htaccess: ------------ НИЖЕ ------------
RewriteEngine на
Параметры -Индексы
RewriteCond% {HTTP_HOST} ^ webmail.customer.com $ [ИЛИ]
RewriteCond% {HTTP_HOST} ^ www.webmail.customer.com $
RewriteRule ^ /? $ "Http://webmail.vps.com" [R = 301, L]
RewriteCond% {HTTP_HOST} ^ cpanel.customer.com $ [ИЛИ]
RewriteCond% {HTTP_HOST} ^ www.cpanel.customer.com $
RewriteRule ^ /? $ "Http://cpanel.vps.com" [R = 301, L]
------------ВЫШЕ------------
ОБНОВЛЕНИЕ - РАБОТАЕТ!
Я понял это, протестировав временный пробный сертификат Comodo для нашего домена webmail.vps.com. Теперь я могу ввести адрес клиента webmail.client.com (нет необходимости в http или https), и он преобразуется в наш SSL https--webmail.vps.com:port без предупреждения в любом из основных браузеров. Поскольку у нас есть несколько областей принудительного входа в систему SSL, мы купим сертификат подстановочного знака * .vps.com, чтобы покрыть управление нашим сервером, а также любые клиенты, использующие Webmail, cPanel и т. Д. (FYI, похоже, что у name cheap лучшая цена для подстановочные знаки от 100 долларов США (Comodo EssentialSSL) до 127 долларов США (GeoTrust RapidSSL) в год). UCC будет значительно дороже из-за наличия нескольких поддоменов для каждого клиента помимо нашего собственного.
Я все еще хочу протестировать возможности подключения по протоколам IMAP, POP и SMTP Relay, но в конечном итоге у нас могут появиться новые клиенты, которые начнут использовать наш mail.vps.com на локализованном почтовом программном обеспечении и мобильных устройствах, поскольку пользователи, вероятно, будут меньше заботиться о скрытых установка (установить и забыть). Существующие клиенты можно просто перенести по мере необходимости.
Действия, предпринятые для CENTOS 5.10 с WHM 11.40.0 (сборка 26)
Если кто-нибудь увидит проблему с этой настройкой в отношении потока, накладных расходов, безопасности и т. Д., Сообщите мне.
Создайте CSR в WHM, а затем установите сертификат WHM / cPanel для хост-домена (я рекомендую протестировать с помощью бесплатного пробного сертификата для одного домена. Не забудьте использовать свое полное доменное имя для нужной службы (webmail.vps.com) вместо www. Тогда просто выйдите и получите свой шаблон, когда все заработает. - Comodo предлагает 90-дневную пробную версию, что было приятно, хотя в итоге на выполнение теста потребовалось <90 минут)
Сертификат был установлен в cPanel хост-домена в разделе «Диспетчер TLS / SSL», а затем применен ко всем службам в разделе «Управление сертификатами SSL служб» WHM. Насколько я понимаю, новый сертификат необходимо применить ко всем перечисленным службам, поскольку все они имеют один и тот же IP-адрес. В противном случае ваш браузер может вытащить исходный / самоподписанный сертификат, что приведет к снижению надежности тестов. В конце концов, все они так или иначе получат подстановочный знак.
Изначально у нас был включен параметр «Всегда перенаправлять на SSL» в настройках настройки WHM, но для того, чтобы этот проект работал, мне пришлось отключить этот параметр. Затем я выбрал «Имя хоста» для «Назначения перенаправления без SSL» и «Имя сертификата SSL» для «Назначения перенаправления SSL». Я не могу вспомнить, был ли уже включен другой параметр перенаправления для HTTP на HTTPS где-то еще в системе WHM, но буду копать, если я кому-то понадобится.
В клиентской cPanel перейдите в «Поддомены» и создайте поддомен веб-почты, а затем создайте перенаправление на адрес веб-почты вашего хоста в той же области: webmail.client.com с корневым каталогом документа «/ public_html /». Поскольку HTTPS уже выполняет перенаправление для этих сервисов, у меня просто был http: - webmail.vps.com для перенаправления.
Пойдите, проверьте свой DNS. Будет пара новых записей, связанных с поддоменом, и исходная запись A веб-почты по-прежнему должна указывать на основной IP-адрес.
Тест. Мне пришлось перезапустить браузер и очистить кеш в другом, прежде чем он загрузил новый сертификат. Кроме того, во избежание ложных срабатываний убедитесь, что вы зашли в браузер и удалили все ранее принятые ненадежные сертификаты, относящиеся к клиентским доменам, которые вы тестируете! Firefox по-прежнему позволяет вам просматривать ненадежный сертификат, прежде чем перейти к месту назначения, что удобно для этого процесса, если вы хотите быстро увидеть, какой сертификат втягивается. Недоверенные сертификаты в IE и Chrome доступны для просмотра только после того, как вы пропустите предупреждение.
Последние мысли:
С нашим сервером мы хотим, чтобы весь доступ к управлению клиентом осуществлялся только через SSL, поэтому это будет стандартная настройка для поддомена cpanel каждой учетной записи. Многие из наших клиентов уже перешли на Office 365 или имеют локальный Exchange, поэтому я не предвижу больших хлопот для остальных при быстром создании записей cPanel (или редактировании .htaccess), а затем быстром тестировании. Мы ведем контрольный список настройки для новых клиентов, поэтому добавление этих перенаправлений веб-почты и cpanel в список добавит лишь несколько секунд во время начальной настройки.
ПЕРВОЕ ОБНОВЛЕНИЕ
Я был совершенно неправ, используя приведенный ниже метод CNAME. CNAME не будет "перенаправлять" один домен на другой должным образом для SSL. В настоящее время я изучаю .htaccess и другие запрограммированные перенаправления для поддоменов и отправлю обратно, если они работают для этой цели. В противном случае, я думаю, моей команде придется использовать UCC в корневом домене VPS, который охватывает необходимых клиентов, или получить каждому клиенту статический IP-адрес с их собственными сертификатами подстановочных знаков. Это не желательная цена для многих, но многие жалуются на предупреждения SSL. Как отметил vortaq7, наши клиенты также не хотят вводить наш основной домен веб-почты вместо своего собственного.
Исходный пост
Я пока не могу оставить прямой ответ / комментарий по цепочке, поэтому в ответ на vortaq7 ... Джон был немного расплывчатым, но я понял, что он имел в виду:
Создайте запись CNAME "веб-почты" в DNS клиента, которая указывает на основной URL-адрес для входа в веб-почту вашего VPS: webmail.client.com> CNAME> webmail.vps.com
Тогда вход в систему SSL будет охвачен первичным подстановочным знаком VPS или сертификатом UCC. Кроме того, клиенту нужно только ввести свой собственный домен (webmail.domain.com), и он может даже не заметить перенаправление на основной VPS (webmail.vps.com). Даже если они заметят, это не имеет значения для тех, кто не желает раскошелиться на собственный сертификат домена.
Сертификаты SSL выдаются на доменной основе. Если все домены, которые вы хотите защитить, находятся в одном домене (site1.example.com, site2.example.com и т. Д.), Вы можете получить сертификат с подстановочными знаками, который может обслуживать * .example.com. Однако, если они находятся в разных доменах, вам необходимо получить отдельные сертификаты для каждого домена.
Получите сертификат и направьте их в свой домен, а не в их, для их веб-почты.