es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Certbot DNS/apache wildcard no funciona para subdominios dobles?

14 Jun, 2023 Programación

He configurado con éxito un certificado SSL mediante Certbot y su plugin DNS. Esto funciona muy bien y he emitido un certificado para example.com y *.example.com:

Salida del comando “certbot certificates”:

Encontré los siguientes certificados:
Nombre del certificado: example.com
Dominios: example.com *.example.com
Fecha de caducidad: 2022-02-28 11:09:56+00:00 (VÁLIDO: 89 días)
Ruta del certificado: /etc/letsencrypt/live/example.com/fullchain.pem
Ruta de la clave privada: /etc/letsencrypt/live/example.com/privkey.pem

Hasta aquí todo bien, todos los dominios parecen estar asegurados correctamente:

example.com = OK
test.example.com = OK

Sin embargo, el problema comienza con el dominio test1.test.example.com. ¡El navegador sigue quejándose de que el dominio no está seguro! Ya he vuelto a emitir el certificado SSL y ha tenido éxito, pero el dominio sigue marcándose como inseguro.

Es importante destacar que si modifico la configuración de Apache para que el dominio no redirija el tráfico http (inseguro) al tráfico https (seguro), puedo acceder al sitio. Esto valida mi configuración de Apache, que de hecho es sólo un archivo de configuración permitiendo:

ServerName example.com
ServerAlias *.example.com

EDITAR: Quizás esto ayude. Safari me dice que el nombre del certificado example.com no coincide con la entrada. Firefox devuelve SSL_ERROR_BAD_CERT_DOMAIN. Así que intenté actualizar el dominio para permitir también ..example.com, pero eso no está permitido por Certbot ya que devuelve: No se puede emitir para ‘..example.com’: El nombre de dominio tiene más de un comodín.

EDITAR 2: El plugin DNS generó un archivo JSON que contiene la información de autorización para validar los dominios. Este archivo contiene una entrada “fulldomain” y “subdomain”, pero el problema está con un dominio “sub-sub” de dos niveles. ¿Quizás este sea el problema? ¿Cómo puedo solucionarlo si el plugin de Certbot no permite dominios con múltiples comodines?

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Parece que el problema podría estar relacionado con el hecho de que el certificado SSL se emitió para example.com y *.example.com, pero no para *.*.example.com, que es lo que se está solicitando en test1.test.example.com. Desafortunadamente, Certbot no permite dominios con múltiples comodines, por lo que no es posible emitir un certificado para *.*.example.com.

    Una solución posible sería modificar la configuración de DNS para crear un registro CNAME para test1.test.example.com que apunte a un subdominio que esté cubierto por su certificado SSL actual, como test.example.com. De esta manera, al acceder a test1.test.example.com, el navegador seguirá el registro CNAME y terminará en un dominio cubierto por su certificado SSL, permitiendo una conexión segura.

    Alternativamente, puede solicitar un nuevo certificado SSL específicamente para test1.test.example.com utilizando un método de validación DNS diferente, como la validación HTTP-01. Esto requiere agregar un archivo temporal a su servidor web al que el complemento de Certbot puede acceder y validar para confirmar que controla el dominio. Una vez que se emite el certificado SSL, puede modificar su configuración de Apache para incluir el nuevo certificado y configurar las redirecciones necesarias.

    En cualquier caso, sería útil verificar el contenido del archivo JSON generado por el complemento de DNS de Certbot para confirmar que se están autenticando los subdominios correctos y se están incluyendo en el certificado SSL.

Comments are closed.