我有一个带有 cpanel/whm 的 centos6 VPS,我将网络空间转售给我从事 IT 工作的客户。我想知道是否存在这样的 SSL 证书,这样我就可以停止客户在访问单独的网络邮件网址(如“webmail.examplesite.com”和“webmail.thiswebsite.com”)时看到的警告
我正在为 VPS 的域名 (vps1.mydomain.com) 获取 SSL 证书,以便我的客户可以使用正确的 SSL 连接来处理电子邮件,我想知道我是否可以采取任何措施来一次性解决这个问题。
答案1
SSL 证书是按域颁发的。如果您希望保护的所有域都属于同一个域(site1.example.com、site2.example.com 等),那么您可以获取一个可以为 *.example.com 提供服务的通配符证书。但是,如果它们位于不同的域中,则您需要为每个域获取单独的证书。
答案2
跟进安装最终证书
通配符证书现已安装完毕,并且所有访问 Webmail、cPanel 并将其邮件客户端的收发服务器定向到主机域以进行 dovecot 访问的客户端均可正常工作。我们已决定没有理由尝试重定向 HTTP 之外的其他协议,因此所有客户都将被重定向到 mail.vps.com 以进行 IMAP/POP3。
对于想要手动执行重定向的任何人,以下是来自 .htaccess 的信息: ------------BELOW------------
RewriteEngine 开启
期权-指数
RewriteCond %{HTTP_HOST} ^webmail.customer.com$ [或]
RewriteCond %{HTTP_HOST} ^www.webmail.customer.com$
重写规则 ^/?$ "http://webmail.vps.com" [R=301,L]
RewriteCond %{HTTP_HOST} ^cpanel.customer.com$ [或]
RewriteCond %{HTTP_HOST} ^www.cpanel.customer.com$
重写规则 ^/?$ "http://cpanel.vps.com" [R=301,L]
- - - - - - 多于 - - - - - -
更新-正在运行!
因此,我通过使用临时的 Comodo 试用证书对我们的 webmail.vps.com 域进行测试来解决这个问题。我现在可以输入客户的 webmail.client.com 地址(无需 http 或 https),它会解析为我们的 SSL https--webmail.vps.com:port,而不会在任何主流浏览器中发出警告。由于我们有多个强制 SSL 登录区域,我们将购买 *.vps.com 通配符证书来覆盖我们的服务器管理以及使用 Webmail、cPanel 等的任何客户。(仅供参考,name cheap 的通配符价格似乎最优惠,每年 100 美元(Comodo EssentialSSL)至 127 美元(GeoTrust RapidSSL)。由于每个客户在我们自己的子域之上还有多个子域,因此 UCC 的成本要高得多。
我仍然想测试 IMAP、POP 和 SMTP 中继连接选项,但最终我们可能只会让新客户开始在本地化电子邮件软件和移动设备上使用我们的 mail.vps.com,因为用户可能不太关心隐藏设置(设置并忘记)。现有客户可以根据需要进行迁移。
在 CENTOS 5.10 和 WHM 11.40.0(build 26)上采取的步骤
如果有人发现此设置在流程、开销、安全性等方面存在问题,请告诉我。
在 WHM 中创建您的 CSR,然后为主机域安装 WHM/cPanel 证书(我建议使用单个域免费试用证书进行测试。不要忘记使用所需服务的 FQDN(webmail.vps.com)而不是 www。然后在一切正常后出去获取通配符。- Comodo 提供 90 天试用期,这很不错,尽管最终完成测试只花了不到 90 分钟)
该证书安装在主机域的 cPanel 中的“TLS/SSL 管理器”下,然后应用于 WHM 的“管理服务 SSL 证书”下的所有服务。我的理解是,新证书需要应用于所有列出的服务,因为它们都共享相同的 IP。否则,您的浏览器可能会提取原始/自签名证书,从而导致测试的可靠性下降。最终,它们最终都会拥有通配符。
我们最初在 WHM 的调整设置下启用了“始终重定向到 SSL”,但为了让这个项目正常运行,我不得不禁用该设置。接下来,我为“非 SSL 重定向目标”选择了“主机名”,为“SSL 重定向目标”选择了“SSL 证书名称”。我不记得 WHM 系统的其他地方是否已经启用了 HTTP 到 HTTPS 的另一个重定向设置,但如果有人需要我,我会深入研究。
在客户端的 cPanel 中,转到子域并创建您的 Webmail 子域,然后在同一区域创建到主机 Webmail 地址的重定向:webmail.client.com,文档根目录为“/public_html/”。由于 HTTPS 已为这些服务重定向,因此我的重定向最终为 http:--webmail.vps.com。
去验证你的 DNS。将会出现几个新的子域相关条目,而原始 Webmail A 记录仍应指向主 IP。
测试。我必须重新启动一个浏览器并清空另一个浏览器的缓存,然后它才能提取新证书。此外,为了避免任何误报,请确保进入浏览器并删除任何之前接受的与您正在测试的客户端域相关的不受信任的证书!Firefox 仍然允许您在继续前往目的地之前查看不受信任的证书,如果您想快速查看正在提取哪个证书,这对于此过程非常有用。IE 和 Chrome 中的不受信任的证书只有在您经过警告后才可见。
最后的想法:
对于我们的服务器,我们希望所有客户端管理访问都仅通过 SSL 进行,因此这也将成为每个帐户的 cpanel 子域的标准设置。我们的许多客户已经迁移到 Office 365 或拥有现场 Exchange,因此我预计其余客户在快速进行 cPanel 条目(或编辑 .htaccess)然后快速测试时不会遇到太大麻烦。我们为新客户保留了一份设置清单,因此将这些 Webmail 和 cpanel 重定向添加到列表中只会在初始设置期间增加几秒钟的时间。
首次更新
我完全错误地使用了下面的 CNAME 方法。CNAME 不会正确地将一个域“重定向”到另一个域以用于 SSL。我目前正在研究 .htaccess 和其他针对子域的编程重定向,如果它们可用于此目的,我会回复。否则,我认为我的团队将不得不在根 VPS 域上使用涵盖必要客户端的 UCC,或者为每个客户端获取一个带有自己的通配符证书的静态 IP。对于许多人来说,这不是一个理想的成本,但相当多的人抱怨 SSL 警告。正如 vortaq7 指出的那样,我们的客户也不想输入我们的主要网络邮件域而不是他们自己的域。
原始帖子
我暂时还不能发表直接的回复/评论,所以回复 vortaq7...John 说得有点含糊,但我认为他的意思是:
在客户端的 DNS 中创建一个“webmail”CNAME 记录,该记录指向您的 VPS 的主要 webmail 登录 URL:webmail.client.com > CNAME > webmail.vps.com
SSL 登录将包含在 VPS 的主通配符或 UCC 证书下。此外,客户只需输入自己的域名 (webmail.domain.com),甚至可能永远不会注意到重定向到 VPS 的主域名 (webmail.vps.com)。即使他们注意到了,对于那些不愿意为自己的域名证书掏钱的人来说也没什么关系。
答案3
获取证书,并将他们引导至您的域名(而不是他们的域名)以使用他们的网络邮件。