LetsEncrypt SSL-Zertifikate mit mehreren Domains und Multi-Subdomains

Question

Wir verwenden seit einigen Jahren ein Positiv-SSL-Multi-Domain-Zertifikat, und das hat gut funktioniert. Unter diesem Cert haben wir zum Beispiel:

domain1:

• mail.domain1.com
• www.domain1.com
• domain1.com

domain2:

• mail.domain2.fr
• www.domain2.fr
• domain2.fr

usw., mit insgesamt 5 verschiedenen Domänen.

Jetzt, da wir unsere Domain-Basis erweitern und das aktuelle Cert ausläuft, betrachten wir Lets-Encrypt genau.

Bevor ich in diese zu bekommen, aber, würde Ich mag ein paar Dinge wissen:

(1) - hat jede Sub-Domain (mail.www., etc.) sowie deren Haupt jeweiligen Domain zu im Hauptzertifikat aufgeführt sein? Ich bitte hauptsächlich darum, weil (a) das mein ursprüngliches Verständnis war, und (b) die Verifikationsstufe mit Lets-Encrypt (preferred-challenges=dns statt standardmäßig apache-basiert) abweichen wird, was mich dazu bringen wird, DNS-Einträge für jeden hinzuzufügen Domäne/Unterdomäne.

(2) - Wenn es in der Tat erforderlich ist (und wenn ich keine andere Wahl habe als preferred-challenges=dns zu verwenden, müssen zum Zeitpunkt der nächsten Cert-Erneuerung (dh < 90 Tage) die DNS-Datensätze noch vorhanden sein? Ich frage das, denn als ich das letzte Mal die DNS-Einträge nach der Erstellung verlassen habe, konnte der Mail-Server nach der DNS-Laufzeit nicht mehr erreicht werden. Ich bin mir ziemlich sicher, dass dies mein schlechtes Setup war, aber ein Risiko, das ich bevorzuge zu vermeiden, nehmen

(3) -.. wenn ich hier von Ihnen fehlt kennen mich zu einem besseren Rat geben mir haben, lassen Sie

Answer 1

Falls jemand ein ähnliches Problem oder einen Plan hat, ist es das, was ich habe während dieser process gelernt:

• Jeder Domain-Name, der das Zertifikat für verwendet werden, enthalten sein. Let's Encrypt wird jeden Domain-Namen im Zertifikat validieren.
• Bei Verwendung der DNS-01-Validierung müssen alle DNS-Einträge hinzugefügt werden. Damit sind Datensätze erforderlich, um die Domänen alle 90 Tage (oder in dem von Ihnen gewählten Zeitrahmen) erneut zu validieren. Dazu müssen Sie jedes Mal einen neuen TXT-Datensatz hinzufügen. Wenn die alten TXT-Datensätze von einer vorherigen Validierung beibehalten werden, ändert sich der Wert jedes Mal.
• Es gibt auch HTTP-01 und TLS-SNI-01 Challenge-Typen. Wenn Sie bereits eine Apache-Instanz ausführen, empfehle ich die Verwendung von HTTP-01.
• Wenn auf dem Computer, auf dem mail.domain1.com ausgeführt wird, kein Webserver vorhanden ist, können Sie weiterhin HTTP-01 verwenden. Certbot verfügt über eine Funktion, die als "Standalone" -Modus bezeichnet wird, in der ein kleiner, speziell entwickelter Webserver gestartet werden kann, um HTTP-01-Anfragen zur Bereitstellung eines Zertifikats zu beantworten.
• Um HTTP- oder TLS-SNI-Validierung auf einem Nicht-Web-Server zu verwenden, würden Sie etwas wie ausführen: certbot certonly --standalone -d mail.example.com. Sie müssen immer noch Port 80 oder 443 in Ihrer Firewall geöffnet haben, um diese Methode zu verwenden, aber Sie brauchen keinen Server, der auf diesen Ports ausgeführt wird. Wenn Sie nur einen Port öffnen möchten, können Sie den Abfragetyp explizit angeben, z. --preferred-challenges http verwenden Port 80 oder --preferred-challenges tls-sni Port 443 zu verwenden.

Answer 2

bei https://websocket.email ich die Subject Alternative Name (SAN) Mechanismus bin mit api.websocket.email etc. zu handhaben. Ich musste DNS-Aufzeichnungen nicht konfigurieren und HTTP-Herausforderungen verwenden. Die genaue Art, wie Sie dies tun würden, hängt von Ihrem acme Client ab. Meins hatte die Option unter einem Konfigurationsabschnitt "alternative Namen" aufgelistet.

Bearbeiten: Um zu verdeutlichen, ich brauche DNS-Datensätze auf meine Subdomains alle auf den gleichen Server zeigen, verwende ich diese ACME-Client - https://man.openbsd.org/acme-client.conf.5 und legen Sie die Option alternative Namen. Beim Abrufen meiner Zertifikate konnte ich in meinen http-Logs sehen, wie eine einzelne Challenge-Datei pro Domain abgerufen wird, um zu beweisen, dass ich sie besitze.