Wildcard сертификаты на modhost.pro

Не прошло и года, как мы это сделали! Теперь вы можете обслуживать неограниченное количество поддоменов через https, всего при одном условии — нужно делегировать нам свой домен.

Это необходимо для автоматического прохождения DNS challenge второй версии протокола ACME, которая и выдаёт заветные сертификаты со звёздочкой.

Почему так долго, спросите вы? Ну потому, что процесс проверки владения сайтом несколько усложнился.

В обычном HTTP challenge вам нужно сделать запрос в Lets Encrypt, получить в ответ произвольный код и положить его на свой сайт в указанное место так, чтобы сервис мог его скачать. Это очень похоже на подключение интернет-счётчиков.

Понятное дело, что такой фокус не пройдёт, если вы хотите получить сертификат для всех возможных поддоменов — тут вам нужно доказать, что вы не управляете всего-лишь одним сайтом, но можете вносить записи в DNS. Поэтому теперь в ответ на запрос нужно создать запись TXT запись _acme-challenge.вашдомен с указанным значением. Причём, это нужно сделать для каждого домена в сертификате.

То есть, если мы хотим, чтобы modx.pro открывался по основному имени и всем поддоменам — то будет уже 2 записи:
  • modx.pro
  • *.modx.pro
Именно это вы и видите на картинке вверху. Зато теперь не нужно указывать ни www, ни другие поддомены — достаточно этих двух А записей. Я даже советую вам удалить старые ненужные поддомены из DNS при переходе на wildcard — они всё равно теперь убираются при получении сертификата.

При запросе через новый протокол, создаётся заказа на Lets Encrypt, затем DNS записи, а после этого они постоянно проверяются. Сразу при подтверждении записей LE генерирует сертификат и отдаёт нам, для установки на сервере. Это занимает дольше времени, но плюсы явно перевешивают.

Заодно еще немного доработал настройки Nginx для новых сертификатов, чтобы было так:

Не A+, конечно, но тоже хорошо.

Теперь вы понимаете, что для прохождения такой проверки, мы должны иметь возможность менять записи домена, а для этого нужно делегирование.

Если вы по каким-то причинам не хотите (или не можете) этого сделать, то старый способ выдачи сертификатов по-прежнему работает, но wildcard для него не доступны.

Все изменения уже на сервисе, можно тестировать и задавать вопросы по существу.
Василий Наумкин
11 октября 2018, 17:30
589
+19

Комментарии: 1

Сергей
23 октября 2018, 22:15
+2
Отличная новость, Василий, спасибо