Некорректное CN для SSL-сертификата

0

2

Пытаюсь настроить на свежем сервере, всё по документации делал, да и далеко не первый раз настраиваю. Неделю назад то же самое делал на той же самой убунте, но у другого хостера. И тут мне пишет, что сертификат, мол, на *.jino.ru создан, а не на мой адрес. Как такое может вообще происходит? certbot косячит, хостер или я?

Ссылка

←	Разработка прошивки для IP камеры и не только

Помогите с .htaccess для MVC

→

нужно еще и просто jino.ru включать в сертификат

mandala ★★★★★
(10.10.18 22:17:49 MSK)

Ответ на: комментарий от mandala 10.10.18 22:17:49 MSK

Да, с помощью чего выпускаешь? Если панель управления, то какая?

mandala ★★★★★
(10.10.18 22:18:25 MSK)

Ответ на: комментарий от mandala 10.10.18 22:18:25 MSK

Просто делаю:

certbot --apache

Там только два выбора есть:

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: russiancoders.tech
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

FlyBird11
(10.10.18 22:20:54 MSK) автор топика

Ответ на: комментарий от mandala 10.10.18 22:17:49 MSK

нужно еще и просто jino.ru включать в сертификат

Зачем? Я не хочу. А, если и надо, почему цертбот сам этого не делает? У другого хостера мне не нужно было его адрес добавлять в сертификат.

FlyBird11
(10.10.18 22:21:55 MSK) автор топика

Ответ на: комментарий от FlyBird11 10.10.18 22:21:55 MSK

Вот что я в итоге имею в конфиге:

<VirtualHost *:80>
        ServerName russiancoders.tech
        ServerAdmin m.m.makarov@gmail.com
        DocumentRoot /var/www/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        RewriteEngine on
        RewriteCond %{SERVER_NAME} =russiancoders.tech
        RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<VirtualHost *:443>
        ServerName russiancoders.tech
        ServerAdmin m.m.makarov@gmail.com
        DocumentRoot /var/www/html

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLCertificateFile /etc/letsencrypt/live/russiancoders.tech/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/russiancoders.tech/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

FlyBird11
(10.10.18 22:23:19 MSK) автор топика

Ответ на: комментарий от FlyBird11 10.10.18 22:23:19 MSK

IN SOA запись может на это как-то влиять? Может её вообще удалить из настроек домена?

FlyBird11
(10.10.18 22:28:20 MSK) автор топика

Ответ на: комментарий от FlyBird11 10.10.18 22:28:20 MSK

SOA не удаляй ни в коем случае! Это запись важная, говорит, какой сервер обслуживает домен, почтовый ящик администратора и другие параметры.

garik_keghen ★★★★★
(10.10.18 22:31:00 MSK)
Последнее исправление: garik_keghen 10.10.18 22:31:24 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от FlyBird11 10.10.18 22:20:54 MSK

https://community.letsencrypt.org/t/getting-wildcard-certificates-with-certbo...

Wildcard верифицируется только через TXT запись на DNS.

Вот пример:

# certbot certonly --manual -d *.amalofeev.ru -d amalofeev.ru --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): 79067635919@yandex.ru

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for amalofeev.ru
dns-01 challenge for amalofeev.ru

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.amalofeev.ru with the following value:

gE4oo5N8rUFZ01cRbtH045YCZVMekd4HTt3SnJOAWLU

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

Далее надо создать TXT запись (где там у тебя DNS правиться не знаю, у меня например на кастомном сервере, у тебя скорее всего у хостера) с именем _acme-challenge.amalofeev.ru и значением gE4oo5N8rUFZ01cRbtH045YCZVMekd4HTt3SnJOAWLU

После чего продолжить. Тут таймаут, надо делать довольно быстро.

mandala ★★★★★
(10.10.18 22:32:03 MSK)

Ответ на: комментарий от FlyBird11 10.10.18 22:21:55 MSK

Certbot сам может сделать, но тогда тебе надо выпускать по сертификату на каждый домен третьего (четвертого и т.д.) уровня. Если поддоменов мало, то wildcard тебе излишен.

mandala ★★★★★
(10.10.18 22:33:40 MSK)

Ссылка

Ответ на: комментарий от mandala 10.10.18 22:32:03 MSK

Это только пример, значение TXT, домен и адрес администратора ты конечно же должен использовать свои.

mandala ★★★★★
(10.10.18 22:34:52 MSK)

Ссылка

Ответ на: комментарий от FlyBird11 10.10.18 22:20:54 MSK

Вот тебе пример простой мой. Он просто создаст тебе сертификат , потом сам пути укажешь в конфиге веб сервера. И пост хук поменяй на апачи.

certbot --authenticator standalone certonly --email myemail@domin.com -d www.{DOMAIN} -d {DOMAIN} --pre-hook "service nginx stop" --post-hook "service nginx start"

Для wild card немного сложнее. Найди в сети, с телефона не удобно писать.

garik_keghen ★★★★★
(10.10.18 22:36:58 MSK)

Ответ на: комментарий от garik_keghen 10.10.18 22:36:58 MSK

Я удалил свои ваяния на тему сертификатов и сделал его через панель хостера - и сразу всё заработало. Я зашёл через час - и обнаружил, что всё опять не работает, но уже по другой причине, что-то там что SSL вообще не работает. Я удалил сертификат через панель и сделал его опять цертботом - теперь всё работает. Я не понял, что произошло.

FlyBird11
(11.10.18 00:07:30 MSK) автор топика

Ответ на: комментарий от FlyBird11 11.10.18 00:07:30 MSK

Если есть ssh доступ, то лучше пользоваться им, имхо. С другой стороны: по панели тебе может помочь тех.поддержка (в теории), по прямому доступу тебя скорее всего пошлют в дорогую платную поддержку.

mandala ★★★★★
(11.10.18 00:16:12 MSK)