Проект

Общее

Профиль

Sert »

Wildcard SSL сертификаты в Tegu

Wildcard SSL сертификат (Вайлдкард) — это SSL-сертификат, который защищает основной домен и неограниченное количество его поддоменов первого уровня
(например, **.example.com), что позволяет использовать один сертификат для сайта, почты, блога и т.д., экономя время и деньги на покупке отдельных сертификатов.
Он работает как обычный SSL, но с универсальным символом звездочки (**), охватывая все субдомены одного уровня и обеспечивая защищенное HTTPS-соединение.
Прекрасно работает с нашим почтовым сервером tegu.

Преимущества:

  • Символ звездочки. Звездочка * в имени сертификата (*.example.com) заменяет любое имя поддомена, например, blog.example.com, mail.example.com, shop.example.com.
  • Шифрование. Обеспечивает такое же надежное шифрование, как и стандартные сертификаты, защищая данные между браузером пользователя и сервером.
  • Гибкость. Позволяет создавать новые поддомены в будущем, и они автоматически будут защищены этим сертификатом без необходимости перевыпуска.
  • Экономия. Выгоднее, чем покупать сертификаты для каждого поддомена.
  • Удобство. Упрощает управление сертификатами, так как один сертификат покрывает множество ресурсов.
  • Масштабируемость. Идеально подходит для компаний, использующих поддомены для разных проектов (лендинги, форумы, почта).

Ограничения:

  • Обычно защищает только поддомены первого уровня (например, *.example.com), но не поддомены второго уровня (например, sub.blog.example.com).
  • Нельзя получить Wildcard с уровнем проверки Extended Validation (EV)

Можно сгенерировать Wildcard сертификат через Let's Encrypt, важно помнить следующие моменты:

  • Если они сертификаты сгенерированы не корневым а промежуточным CA, то нужно брать не сам sert, а полную цепочку - fullchain в терминах LetsEncrypt.
    Сам LetsEncrypt её создаёт вместе со всей пачкой.
  • Если в комплекте нет fullchain, а есть отдельно рассыпуха: Корневой, Промежуточные, Доменный - то можно его сделать так:
cat domain.crt Intermediate1.crt Intermediate2.crt CARoot.crt > fullchain.crt
  • В LetsEncrypt бесплатные Wildcard сертификаты продляются хитро. Только вручную через DNS-Челлендж.
  • Для успешной автоматической генерации сертификатов, порты 80 и 443 должны быть проброшены наружу.
  • После настройки сертификатов проверьте порты, которые слушает почтовый сервер утилитой net-tool. {{collapse(Как установить net-tool)