Подстановочный SSL, выданный Plesk, не работает для поддоменов, размещенных третьей стороной
У меня есть настройка Plesk, которая выдает сертификаты Letsencrypt и размещает часть моих клиентских веб-сайтов. При передаче _acme-challenge
и получении сертификата с подстановочным знаком / установке указанного сертификата кажется, что часть поддоменов, которые не размещены у меня, все еще выдает ошибку сертификата.
Моя настройка в DNS в настоящее время выглядит следующим образом:
-
example.com
- Информационный веб-сайт, размещенный на моем сервере Plesk. -
dev.example.com
- Отдельный сайт разработчика, размещенный на другом IP-адресе, например192.0.2.12
-
live.example.com
- Полностью другое приложение, размещенное мной и работающее с текущим SSL
Насколько я понимаю, другой стороне из dev.example.com
также необходимо установить сертификат с подстановочным знаком на своем конце? Или что-то не так с самим моим сертификатом.
1 answers
Сертификат должен быть установлен на каждом веб-сервере, на котором размещается контент для домена. Сертификат подстановочного знака, который вы получаете и устанавливаете на своем сервере, будет распространяться только на поддомены, размещенные на вашем сервере. Если у вашего клиента есть поддомен, размещенный третьей стороной, этой третьей стороне потребуется собственный сертификат.
Поддомен dev не обязательно должен иметь сертификат с подстановочным знаком. Он может иметь сертификат без подстановочных знаков, который охватывает только dev.example.com
, полученный отдельно от подстановочный сертификат, который получает Plesk. Другими словами, компания, размещающая поддомен dev
, может использовать протокол HTTP challenge для получения сертификата LetsEncrypt без какого-либо доступа к вашему серверу или DNS.
Другим вариантом для вашего клиента было бы скопировать сертификат, закрытый ключ и цепочку с сервера Plesk на сервер для домена dev
. Я бы не рекомендовал этого делать, если только они не смогут автоматизировать этот процесс. Срок действия сертификатов LetsEncrypt истекает каждые три месяца. Полагаться на ручное копирование для таких недолговечных сертификатов обычно недостаточно надежно.