我想在 directadmin 服务器上为我的域名使用 Let's Encrypt 证书...
对于主机名正在工作并且我能够通过 SSL 访问主机名和 directadmin 控制面板,问题是我无法使用 directadmin 控制面板或 SSH 获取用于其他域的证书。
我尝试了什么来解决这个问题?
截图
如果我登录 SSH:我能够向主机名添加最多 100 个(子)域,如何为我的域添加 Let's Encrypt 证书并使其正常工作?我不想为域使用主机名证书。
编辑1
直接管理配置文件
SSL=1
启用 SSL=1
letsencrypt=1
输出:grep well-known /etc/httpd/conf/extra/httpd-alias.conf
别名 /.well-known /var/www/html/.well-known
Let's Encrypt 正在运行,并且证书会自动更新,唯一可以使用它的域名是主机名和一些相关域,已安装用于 directadmin 服务器的最新版本的 letsencrypt.sh。我无法将此证书用于托管在此服务器上的其他域。
如果您需要有关此问题的更多信息,请在评论中询问。
答案1
更新:Let's Encrypt 自 2017 年起开始颁发通配符证书2018 年 1 月。
是的。通配符颁发必须通过 ACMEv2 使用 DNS-01 质询进行。请参阅这个帖子了解更多技术信息。
Let's Encrypt不提供通配符证书,但它提供多域证书。
Let's Encrypt 提供域验证 (DV) 证书。我们不提供组织验证 (OV)、扩展验证 (EV)
或通配符证书,主要是因为我们无法自动颁发这些类型的证书。我可以获得多个域名的证书(SAN 证书或 UCC 证书)吗?
是的,使用主体备用名称 (SAN) 机制,同一份证书可以包含多个不同的名称。
使用 SAN,您将拥有一个证书涵盖所有域。由于 TLS 连接是在浏览器发送Host:头之前建立的,因此您的 HTTPD 不知道要使用哪个证书进行握手,并且会匹配与 IP 地址匹配的第一个可用证书。因此,有一个漫长的过程时代实际上,每个证书都需要一个 IP 地址。SAN 是在同一 IP 上拥有多个 HTTPS 站点的唯一方法,并且每当添加新别名时都需要重新颁发证书。
直到服务器名称指示信噪比,这是 TLS 的扩展,允许客户端在其 SSL 握手的第一条消息中包含请求的主机名。自 2007 年 10 月 OpenSSL 0.9.8f 以来,SNI 就一直存在。多年来,所有主流浏览器都支持它。您可以在阿帕奇,它得到了Nginx自 0.5.23 开始,并于IIS 8.0。
由于您已经拥有多个证书(而不是 SAN),你应该使用 SNI. 允许 SNI 是可在 DirectAdmin 上实现。 很遗憾Serverfault 不会为网站托管控制面板提供支持。