LINUX.ORG.RU

Некорректное CN для SSL-сертификата

 , ,


0

2

https://russiancoders.tech

Пытаюсь настроить на свежем сервере, всё по документации делал, да и далеко не первый раз настраиваю. Неделю назад то же самое делал на той же самой убунте, но у другого хостера. И тут мне пишет, что сертификат, мол, на *.jino.ru создан, а не на мой адрес. Как такое может вообще происходит? certbot косячит, хостер или я?

Ответ на: комментарий от mandala

Просто делаю:

certbot --apache

Там только два выбора есть:

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: russiancoders.tech
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
и
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

FlyBird11
() автор топика
Ответ на: комментарий от mandala

нужно еще и просто jino.ru включать в сертификат

Зачем? Я не хочу. А, если и надо, почему цертбот сам этого не делает? У другого хостера мне не нужно было его адрес добавлять в сертификат.

FlyBird11
() автор топика
Ответ на: комментарий от FlyBird11

Вот что я в итоге имею в конфиге:

<VirtualHost *:80>
        ServerName russiancoders.tech
        ServerAdmin m.m.makarov@gmail.com
        DocumentRoot /var/www/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        RewriteEngine on
        RewriteCond %{SERVER_NAME} =russiancoders.tech
        RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<VirtualHost *:443>
        ServerName russiancoders.tech
        ServerAdmin m.m.makarov@gmail.com
        DocumentRoot /var/www/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLCertificateFile /etc/letsencrypt/live/russiancoders.tech/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/russiancoders.tech/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

FlyBird11
() автор топика
Ответ на: комментарий от FlyBird11

SOA не удаляй ни в коем случае! Это запись важная, говорит, какой сервер обслуживает домен, почтовый ящик администратора и другие параметры.

garik_keghen ★★★★★
()
Последнее исправление: garik_keghen (всего исправлений: 1)
Ответ на: комментарий от FlyBird11

https://community.letsencrypt.org/t/getting-wildcard-certificates-with-certbo...

Wildcard верифицируется только через TXT запись на DNS.

Вот пример:

# certbot certonly --manual -d *.amalofeev.ru -d amalofeev.ru --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): 79067635919@yandex.ru

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for amalofeev.ru
dns-01 challenge for amalofeev.ru

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.amalofeev.ru with the following value:

gE4oo5N8rUFZ01cRbtH045YCZVMekd4HTt3SnJOAWLU

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

Далее надо создать TXT запись (где там у тебя DNS правиться не знаю, у меня например на кастомном сервере, у тебя скорее всего у хостера) с именем _acme-challenge.amalofeev.ru и значением gE4oo5N8rUFZ01cRbtH045YCZVMekd4HTt3SnJOAWLU

После чего продолжить. Тут таймаут, надо делать довольно быстро.

mandala ★★★★★
()
Ответ на: комментарий от FlyBird11

Certbot сам может сделать, но тогда тебе надо выпускать по сертификату на каждый домен третьего (четвертого и т.д.) уровня. Если поддоменов мало, то wildcard тебе излишен.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Это только пример, значение TXT, домен и адрес администратора ты конечно же должен использовать свои.

mandala ★★★★★
()
Ответ на: комментарий от FlyBird11

Вот тебе пример простой мой. Он просто создаст тебе сертификат , потом сам пути укажешь в конфиге веб сервера. И пост хук поменяй на апачи.

certbot --authenticator standalone certonly --email myemail@domin.com -d www.{DOMAIN} -d {DOMAIN} --pre-hook "service nginx stop" --post-hook "service nginx start"

Для wild card немного сложнее. Найди в сети, с телефона не удобно писать.

garik_keghen ★★★★★
()
Ответ на: комментарий от garik_keghen

Я удалил свои ваяния на тему сертификатов и сделал его через панель хостера - и сразу всё заработало. Я зашёл через час - и обнаружил, что всё опять не работает, но уже по другой причине, что-то там что SSL вообще не работает. Я удалил сертификат через панель и сделал его опять цертботом - теперь всё работает. Я не понял, что произошло.

FlyBird11
() автор топика
Ответ на: комментарий от FlyBird11

Если есть ssh доступ, то лучше пользоваться им, имхо. С другой стороны: по панели тебе может помочь тех.поддержка (в теории), по прямому доступу тебя скорее всего пошлют в дорогую платную поддержку.

mandala ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.