Problem mit LetsEncrypt Wildcard Zertifikat

[Retrogamer]

Hallo Freunde,

ich habe folgendes Problem und wollte fragen ob jemand eine Lösung dafür hat. Meine Informatiker Freunde (ich bin keiner) haben leider alle keine Ahnung von SSL Zertifikaten.

Kurz:

Mein Wildcard Zertifikat, ausgestellt auf *.[domainname].de deckt scheinbar die Hauptdomain https://[domainname].de nicht mit ab.

Wie ist mein Setup:
- Ubuntu 16.04.5 Server mit Apache 2.4.18
- Via Certbot wie folgt ein Wildcard Zertifikat angefordert:

certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns -d '[domainname].de,*.[domainname].de'

-Zertifikat bekommen.
- Aufruf über https://www.[domainname].de klappt einwandfrei. (Zertifikat zeigt an: ausgestellt für *.[domainname].de)
- Aufruf ohne www sagt "nicht sicher".

Habe versucht per .htaccess eine Umleitung auf die Seite mit www einzurichten:

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

Klappt auch, aber leider bekomme ich beim ersten Aufruf trotzdem einen Fehler, weil das Zertifikat scheinbar die Hauptdomain ohne www nicht absichert.


Hat jemand eine Lösung dafür?

 

[martingo]

Ein Wildcard Zertifikat deckt nur die Subdomains ab. Daher muss Dein Letsencrypt Zertifikat auch für die Hauptdomain konfiguriert werden.
Also
example.org *.example.org
Das ist völlig normal und bei jedem Zertifikat so.

 

[Retrogamer]

Ein Wildcard Zertifikat deckt nur die Subdomains ab. Daher muss Dein Letsencrypt Zertifikat auch für die Hauptdomain konfiguriert werden.
Also
example.org *.example.org
Das ist völlig normal und bei jedem Zertifikat so.

Aber ist das nicht mit

certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns -d '[domainname].de,*.[domainname].de'

erledigt?

Ich habe mir jetzt mal testweise folgendes erstellt:

certbot certonly -d [domainname].de -d www.[domainname].de

Klappt eventuell besser.




Funktioniert jetzt wie es soll!

Aber danke für den Hinweis, dass die Hauptdomain nicht immer im Wildcardzertifikat abgedeck tist. Ich dachte * könnte auch für nichts stehen.

 

[martingo]

Ähm sorry, das hatte ich übersehen, hatte Dein Kommando auf dem Handy gar nicht angesehen, sondern mich nur auf die Frage verlassen.
Also dass Wildcard immer nur die aktuelle Ebene abdeckt ist ja nun geklärt (bräuchtest für <kundennummer>.kunde.example.org auch *.kunde.example.org anstelle von *.example.org [oder *.*.example.org, aber das gibt es bei letsencrypt meines Wissens nicht]), aber wieso das mit Deinem Kommando nicht funktioniert hat, weiß ich trotzdem nicht. Sieht eigentlich nicht grundsätzlich falsch aus und es ist auf jeden Fall möglich example.org und *.example.org in einem Zertifikat zusammenzufassen.

Schau Dir Doch mal das erstellte Zertifikat an und poste die Ausgabe:

cat cert.pem | openssl x509 -text | grep DNS

Falls dort schon Fehler auffällig sind, versuche es doch mal so und poste danach auch wieder die Ausgabe vom vorherigen Befehl:

certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns -d 'example.org' -d '*.example.org'

Edit: Zum Testen verwendet man übrigens letsencrypt Staging. Im Produktiv Branch kommst Du sonst schnell in die Begrenzung (abgesehen von zig ungenutzten Zertifikaten auf den Servern).

 

[Retrogamer]

Ich glaube es lag vor allem am Firmenproxy, dass es bei mir nicht richtig ging.

 

[sch4kal]

Ich dachte * könnte auch für nichts stehen

Tut es auch theoretisch, er erwartet jedoch einen Punkt hinter dem "nichts", "nichts".domainname.de geht nur nicht.
Aber schön das es klappt