Можно ли на letsencrypt получить бесплатный wildcard сертификат?

Question

[vasili_ii]

Собственно, есть задача перевести сайт на https.
Интересует бесплатный ssl-сертификат. Почитал, letscenctypt подходит.
Проблема в том, что часть статики (картинки) лежат на отдельном поддомене (и отдельном провайдере, который предоставляет услуги облачного хранения и cdn - там нет ssh и панели, только свой api).
Читал здесь о проблемах, которые возникнут при использовании смешанных источников на сайте. Собственно, хотелось бы обойти.

Теперь вернусь к исходному вопросу: можно ли получить бесплатный wildcard сертификат в letsencrypt. Если да, то каков порядок действий. Если нет - подскажите, пожалуйста, возможные варианты в моей ситуации.

Answer 1

[Ilya Evseev]

1) Много имен в одном сертификате завести можете, но после этого придётся отдать провайдеру ключ и сертификат, чтобы он мог обслуживать subdomain.example.com
Поэтому лучше заказать отдельно сертификат на subdomain и сертификат на всё остальное.

2) Предварительно надо убедиться, что CDN вообще предоставляет клиентам возможность загружать их собственные сертификаты и ключи (на дорогих тарифах наверняка да, на бесплатных наверняка нет).

3) Из клиентов LetsEncrypt наиболее удобен acme.sh

Answer 2

[ky0]

Нет, LE выдаёт сертификаты только для конечного числа доменов. Некоторые CDNы предоставляют бесплатные сертификаты, CloudFlare, например. Может, и у вашего такое есть? В противном случае, видимо, придётся класть ваши картинки куда-то ещё.

Answer 3

[Дмитрий Беляев]

LE может выдать единый сертификат для 1 домена и 10 его поддоменов
Кроме того, LE выдает сертификат самого низкого уровня, который подтверждает только владение доменом

Comments

[ky0]

Вы так говорите, как будто это (DV) что-то плохое =)

[vasili_ii]

не совсем понятен алгоритм получения информации о принадлежности домена и поддоменов, который использует certbot.
Смогу ли я получить сертификат на домен и поддомен в случае, если в DNS поддомен настроен на ip-адреса cdn-провайдера.
Т.е. на машине, где находится сайт example.com я запускаю команду certbot -comand на получение сертификата для example.com и images1.example.com.
Как я предполагаю, letsencrypt опрашивает мой сервер на наличие нужных файлов в пути example.com/.well-known/acme-challenge/ и далее выдает сертификат.
Вопрос: будет ли он опрашивать отдельно поддомен images1.example.com на наличие файлов в пути images1.example.com/.well-known/acme-challenge/?
Если будет, то что выдаст в итоге:

- ошибку;
- сертификат только на example.com;
- либо все таки каким-то чудесным образом дополнительно и на images1.example.com?

[Дмитрий Беляев]

vasili_ii: опрашивает каждый сабдомен со своим файлом
выдает ошибку если где-то не прошла проверка

[Дмитрий Беляев]

ky0: ну формально, это сертификат только для физ лиц, хотя у меня на сайте от ООО крутится как временное решение

[ky0]

Дмитрий Беляев: То, что организация подтвердила своё владение сайтом, очень круто, конечно, но практическая польза от этого нулевая. Утверждают, что это делается для усложнения фишинга - но пользователь, не заметивший изменения названия домена в адресной строке так же легко не заметит и отсутствие OV-плашки. А уж про какие-то законодательные ограничения на использование организациями DV-сертификатов и вовсе первый раз слышу.

[vasili_ii]

по поводу практической пользы. Гугл вроде собирался с 2017 года понижать в ранжировании сайты без https.

[vasili_ii]

ну и то, что при регистрации/входе на сайт снижается вероятность получения конфиденциальных данных через "прослушивание" сети. Как бы для пользователей - хорошо.

Answer 4

[vasili_ii]

на сайте sertbot есть такой пример:
$ ./path/to/certbot-auto certonly --webroot -w /var/www/example -d example.com -d www.example.com -w /var/www/thing -d thing.is -d m.thing.is

Смогу ли я получить сертификат на домен и поддомен такой командой:
$ ./path/to/certbot-auto certonly --webroot -w /var/www/example -d example.com -d subdomain.example.com
При условии, что в DNS subdomain.example.com настроен сейчас на cdn-провайдера?

Comments

[Роман Башарин]

Василий, здравствуйте. Какие результаты? Столкнулся с такой же проблемой как вы спросили. Вебрут указывает на папку где хранится только один из поддоменов, а что делать с остальными? Они же в соседних папках лежат

[vasili_ii]

Роман:
$ ./path/to/certbot-auto certonly --webroot -w /var/www/example -d example.com -d subdomain.example.com

Внимательно смотрите на команду: здесь мы получаем один сертификат на домен и его поддомены. Один сертификат, одна папка, один домен и несколько (до 10 штук, как пишут выше) поддоменов.

[Роман Башарин]

vasili_ii: Если брать конкретный пример, то все поддомены должны быть алиасами и вести на один сайт. Решил проблему так - при первой проверке сделал редирект в директорию с проверочным файлом, а потом полученный сертификат через nginx настройки подключил для всех доменов и поддоменов.

Answer 5

[DimentR]

LE пишут про январь 2018
https://letsencrypt.org/2017/07/06/wildcard-certif...