Подстановочный SSL, выданный Plesk, не работает для поддоменов, размещенных третьей стороной

Question

Подстановочный SSL, выданный Plesk, не работает для поддоменов, размещенных третьей стороной

У меня есть настройка Plesk, которая выдает сертификаты Letsencrypt и размещает часть моих клиентских веб-сайтов. При передаче _acme-challenge и получении сертификата с подстановочным знаком / установке указанного сертификата кажется, что часть поддоменов, которые не размещены у меня, все еще выдает ошибку сертификата.

Моя настройка в DNS в настоящее время выглядит следующим образом:

example.com - Информационный веб-сайт, размещенный на моем сервере Plesk.
dev.example.com - Отдельный сайт разработчика, размещенный на другом IP-адресе, например 192.0.2.12
live.example.com - Полностью другое приложение, размещенное мной и работающее с текущим SSL

Насколько я понимаю, другой стороне из dev.example.com также необходимо установить сертификат с подстановочным знаком на своем конце? Или что-то не так с самим моим сертификатом.

1

dns plesk lets-encrypt security-certificate wildcard-certificate

Author: Patrick Mevzek, 2020-09-08

Source

1 answers

score 1 · Accepted Answer

Сертификат должен быть установлен на каждом веб-сервере, на котором размещается контент для домена. Сертификат подстановочного знака, который вы получаете и устанавливаете на своем сервере, будет распространяться только на поддомены, размещенные на вашем сервере. Если у вашего клиента есть поддомен, размещенный третьей стороной, этой третьей стороне потребуется собственный сертификат.

Поддомен dev не обязательно должен иметь сертификат с подстановочным знаком. Он может иметь сертификат без подстановочных знаков, который охватывает только dev.example.com, полученный отдельно от подстановочный сертификат, который получает Plesk. Другими словами, компания, размещающая поддомен dev, может использовать протокол HTTP challenge для получения сертификата LetsEncrypt без какого-либо доступа к вашему серверу или DNS.

Другим вариантом для вашего клиента было бы скопировать сертификат, закрытый ключ и цепочку с сервера Plesk на сервер для домена dev. Я бы не рекомендовал этого делать, если только они не смогут автоматизировать этот процесс. Срок действия сертификатов LetsEncrypt истекает каждые три месяца. Полагаться на ручное копирование для таких недолговечных сертификатов обычно недостаточно надежно.