Wildcard сертификаты на modhost.pro
Не прошло и года, как мы это сделали! Теперь вы можете обслуживать неограниченное количество поддоменов через https, всего при одном условии — нужно делегировать нам свой домен.
Это необходимо для автоматического прохождения DNS challenge второй версии протокола ACME, которая и выдаёт заветные сертификаты со звёздочкой.
Почему так долго, спросите вы? Ну потому, что процесс проверки владения сайтом несколько усложнился.
В обычном HTTP challenge вам нужно сделать запрос в Lets Encrypt, получить в ответ произвольный код и положить его на свой сайт в указанное место так, чтобы сервис мог его скачать. Это очень похоже на подключение интернет-счётчиков.
Понятное дело, что такой фокус не пройдёт, если вы хотите получить сертификат для всех возможных поддоменов — тут вам нужно доказать, что вы не управляете всего-лишь одним сайтом, но можете вносить записи в DNS. Поэтому теперь в ответ на запрос нужно создать запись TXT запись _acme-challenge.вашдомен с указанным значением. Причём, это нужно сделать для каждого домена в сертификате.
То есть, если мы хотим, чтобы modx.pro открывался по основному имени и всем поддоменам — то будет уже 2 записи:
При запросе через новый протокол, создаётся заказа на Lets Encrypt, затем DNS записи, а после этого они постоянно проверяются. Сразу при подтверждении записей LE генерирует сертификат и отдаёт нам, для установки на сервере. Это занимает дольше времени, но плюсы явно перевешивают.
Заодно еще немного доработал настройки Nginx для новых сертификатов, чтобы было так:
Не A+, конечно, но тоже хорошо.
Теперь вы понимаете, что для прохождения такой проверки, мы должны иметь возможность менять записи домена, а для этого нужно делегирование.
Если вы по каким-то причинам не хотите (или не можете) этого сделать, то старый способ выдачи сертификатов по-прежнему работает, но wildcard для него не доступны.
Все изменения уже на сервисе, можно тестировать и задавать вопросы по существу.
Это необходимо для автоматического прохождения DNS challenge второй версии протокола ACME, которая и выдаёт заветные сертификаты со звёздочкой.
Почему так долго, спросите вы? Ну потому, что процесс проверки владения сайтом несколько усложнился.
В обычном HTTP challenge вам нужно сделать запрос в Lets Encrypt, получить в ответ произвольный код и положить его на свой сайт в указанное место так, чтобы сервис мог его скачать. Это очень похоже на подключение интернет-счётчиков.
Понятное дело, что такой фокус не пройдёт, если вы хотите получить сертификат для всех возможных поддоменов — тут вам нужно доказать, что вы не управляете всего-лишь одним сайтом, но можете вносить записи в DNS. Поэтому теперь в ответ на запрос нужно создать запись TXT запись _acme-challenge.вашдомен с указанным значением. Причём, это нужно сделать для каждого домена в сертификате.
То есть, если мы хотим, чтобы modx.pro открывался по основному имени и всем поддоменам — то будет уже 2 записи:
- modx.pro
- *.modx.pro
При запросе через новый протокол, создаётся заказа на Lets Encrypt, затем DNS записи, а после этого они постоянно проверяются. Сразу при подтверждении записей LE генерирует сертификат и отдаёт нам, для установки на сервере. Это занимает дольше времени, но плюсы явно перевешивают.
Заодно еще немного доработал настройки Nginx для новых сертификатов, чтобы было так:
Не A+, конечно, но тоже хорошо.
Теперь вы понимаете, что для прохождения такой проверки, мы должны иметь возможность менять записи домена, а для этого нужно делегирование.
Если вы по каким-то причинам не хотите (или не можете) этого сделать, то старый способ выдачи сертификатов по-прежнему работает, но wildcard для него не доступны.
Все изменения уже на сервисе, можно тестировать и задавать вопросы по существу.
11 октября 2018, 17:30
Комментарии: 1
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
7 часов назад
Будет обновление АПИ до 3 версии или нет????
Вчера в 16:40
Когда планируется обновление? :'э
Вчера в 09:58
Попробую, спасибо!
Вчера в 00:32
Демо вроде автор закрыл, а ссылка из поста на компонент вполне рабочая, или о чем речь?
24 апреля 2024, 14:54
Давай попробуем вот так — youtu.be/BbyfFDARgZU
24 апреля 2024, 13:36
Спасибо за помощь
