Let's Encypt: Subdomains über Haupt-Zertifikat? / Löschung?

  • Hallo allerseits,


    ist es möglich beim Hauptzertifikat (http://www.domain.de) auch die Subdomains (sub1.domain.de, sub2.domain.de) mit abzusichern - oder muss für jede Subdomain ein eigenes / eigenständiges Zertifikat angelegt werden?


    Ist es eigentlich möglich SSL-Zertifikate wieder zu löschen / zu deaktivieren? Im CCP finde ich bei aktiven Zertifikaten dazu keine Möglichkeit.


    Danke und beste Grüße,

    Dav

  • Grundsätzlich unterstützt LetsEncrypt die Verwendung von Alias-Domains, damit könnte man eine Liste von verschiedenen Domains (auch Subdomains) mit dem selben Zertifikat absichern.


    Bezieht sich deine Frage darauf, ob das mit dem CCP auch geht oder nur die grundsätzliche Antwort?

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Im Moment noch nicht, aber es ist in Vorbereitung. Ich warte auch darauf :)

    Also Letscrypt bietet schon Wildcard-Zertifikate an, doch das Plesk hier kann das Protokoll wohl noch nicht.

  • Im Moment noch nicht, aber es ist in Vorbereitung. Ich warte auch darauf :)

    Also Letscrypt bietet schon Wildcard-Zertifikate an, doch das Plesk hier kann das Protokoll wohl noch nicht.

    Alles klar, danke für die Info!

    Dann warte ich ebenfalls gespannt. ;)

  • Moin.


    Mir ist hinsichtlich der Handhabung bzw. Möglichkeiten, Let's-Encrypt-Zertifikate über das WCP (Host) auch für konkrete Subdomains zu verwenden (sub1.domain.de, sub2.domain.de, ...), noch nicht so richtig verständlich.


    Ich hatte - weil ich es noch nicht besser wusste (bin noch Newbie hier) - für mehrere Subdomains jeweils ein eigenes Let's-Encrypt-Zertifikat "beantragt" bzw. eingerichtet. Nach den Hinweisen hier im Forum bekam ich den Endruck, dass ich das Let's-Encrypt-Zertifikat der Hauptdomain auch für deren Subdomains verwenden kann, also für die Subdomains keine weiteren LE-Zertifikate erforderlich sind. Also habe ich dann die Subdomain-LE-Zertifikate wieder bei den Subdomains entfernt und danach die unbenutzten Subdomain-LE-Zertifikate gelöscht.


    Nun stelle ich zweierlei Probleme fest:

    1. Nur bei manchen Subdomains wird mir das LE-Zertifikat der zugehörigen Hauptdomain überhaupt zur Auswahl angeboten. Bei einigen Subdomains ist das LE-Zertifikat der Hauptdomain in der Auswahlliste (bei Hosting-Einstellungen > Sicherheit > Zertifikat) mit drin und bei anderen Subdomains derselben Hauptdomain nicht. Das LE-Zertifikat der Hauptdomain steht mir dann also für einige zugehörige Subdomains gar nicht zur Verfügung obwohl es grundsätzlich existiert.
    2. Bei allen Subdomains, bei denen ich das LE-Zertifikat der Hauptdomain auswählen konnte, erhalte ich nach Aufruf der Subdomain im Browser den aufpoppenden Hinweis "Ungültiges Zertifikat".


    Nun meine Fragen:


    Mache ich da in der Handhabung (im Plesk oder ...) noch etwas verkehrt, dass die beiden beschriebenen Probleme auftreten?


    Oder habe ich es nicht richtig verstanden und es funktioniert (noch) gar nicht, dass man im WCP bzw. Plesk ein LE-Zertifikat einer Hauptdomain auch für zugehörige, konkrete Subdomains (also ich meine nicht Wildcard) verwenden kann?


    Ich danke im Voraus

    der B'min

  • Moin!


    Ich dachte auch, dass ich endlich mal mein kostenloses 'Labs Expert Backup M' an den Start bringen und richtig konfigurieren könnte.


    Etwas konfus ist die Konfiguration ja schon, da man Let's Encrypt nicht (wie üblich) unter Plesk, sondern im CCP konfigurieren muss:

    CCP > Domains > (Lupe anklicken) > kostenloses SSL


    Allerdings fällt deswegen anscheinend das automatische LE-Verschlüsseln der Subdomain webmail.xxx.de weg.

    Im CCP wird berichtet, dass 'domain'.de und www.'domain'.de vom LE-SSL-Zertifikat verschlüsselt werden.


    Leider aber kein webmail.'domain'.de!


    Unter Plesk habe ich die Subdomain 'webmail' zusätzlich angelegt und konnte dort auch einstellen, dass es mit dem LE-SSL-Zertifikat 'mitversorgt' wird.


    Leider hagelt es trotz allem Browser-Warnhinweise, dass webmail.'domain'.de nicht vershclüsselt ist...


    Bei einer anderen Plesk-Oberfläche eines anderen Providers wurde webmail automatisch mitversorgt.


    Ich denke, es hakt an der merkwürdigen LE-Beantragung unter CCP, die nicht richtig mit Plesk abgestimt ist.


    Was meint Ihr?


    Dank+Gruß, raimerik


    PS: Und die Subdomain 'mail' wird anscheinend auch nicht mitversorgt... Ideen, wie man einen sicheren Mailversand gewährleistet?

  • PS: Und die Subdomain 'mail' wird anscheinend auch nicht mitversorgt... Ideen, wie man einen sicheren Mailversand gewährleistet?

    Beispielsweise den Netcup-Mailserver (mxfxyz.netcup.net) direkt verwenden? mail.domain.de ist ja auch nur ein A-Record auf eben diesen. Verwendet man direkt den Netcup-Server, benötigt man auch keine eigenen Zertifikate, da sich Netcup um die eigene Domain kümmert.

  • Beispielsweise den Netcup-Mailserver (mxfxyz.netcup.net) direkt verwenden? mail.domain.de ist ja auch nur ein A-Record auf eben diesen. Verwendet man direkt den Netcup-Server, benötigt man auch keine eigenen Zertifikate, da sich Netcup um die eigene Domain kümmert.

    Dank Dir!

    In der Tat wurde bei den Infos in Plesk nur die mail.'domain'.de-Variante angegeben. Ich weiß nicht, warum man diese Info nicht hilfreicherweise in Plesk anbietet...

    In einer steinalten eMail versteckt habe ich dann entdeckt:

    "Um Ihre Mails über eine sichere Verbindung abzurufen, benutzen Sie für IMAP und POP3 folgenden Server: mxf97a.netcup.net"


    Eine durch das LE-SSL abgedeckte mail-Subdomain wäre natürlich 'hübscher' und praktischer (z.B. für die Einrichtung).


    Hat denn jemand von Euch das LE-Zertifikat mit der webmail-Subdomain zum Arbeiten bekommen - und wenn ja, wie?


    (In einer anderen Plesk-Konfiguration bei einem anderen Anbieter wird in Plesk sogar eine Checkbox angeboten 'webmail'-Subdomain mitsichern (o.ä.), was bei mir wegen der merkwürdigen LE-Konfiguration im CCP schon einmal nicht funktioniert. Genausowenig leider wie die Einrichtung einer webmail-Subdomain in Plesk, die man dann mit dem LE-Zertifikat absichern kann - und was dann leider keinerlei Wirkung zeigt...)


    Dank+Gruß, raimerik


    PS: Leider funktioniert in 'meinem' netcup-Plesk auch die Umstellung auf Horde als Webmailer nicht. Hakelt leider (noch) etwas zuviel im netcup-Plesk...

  • Hay,

    Hat denn jemand von Euch das LE-Zertifikat mit der webmail-Subdomain zum Arbeiten bekommen - und wenn ja, wie?

    Ja, spaßeshalber mal getestet - allerdings dann einen eigenen Webmailer (Roundcube) installiert, so dass man den Webmailer von netcup nicht mehr verwenden muss. Bemerkung: Auf einem Root-Server, sollte aber auf einem Webhost auch möglich sein. Wobei der Mailabruf mit einem Mailreader immer noch über den netcup-eigenen Mailserver und Zertifikat erledigen muss.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hay,

    Ja, spaßeshalber mal getestet - allerdings dann einen eigenen Webmailer (Roundcube) installiert, so dass man den Webmailer von netcup nicht mehr verwenden muss. Bemerkung: Auf einem Root-Server, sollte aber auf einem Webhost auch möglich sein. Wobei der Mailabruf mit einem Mailreader immer noch über den netcup-eigenen Mailserver und Zertifikat erledigen muss.


    CU, Peter

    Hay zurück!

    Das scheint also bei Servern besser zu funktionieren als im WCP(Plesk)...

    Bie mir scheint es nach Support-Meinung am LE per CCP zu liegen, wodurch eben 'webmail' nicht in Plesk mitversorgt wird...

    (Aber hier im Thread hatte ja auch schon jemand Probleme, der LE komplett per WCP(Plesk) und eben nicht per CCP konfigurieren wollte...) >>> https://forum.netcup.de/anwend…-l%C3%B6schung/#post98677


    Beste Grüße, raimerik

  • Hay,


    zumindest im root-Server-Plesk kannst Du webmail.domain.tld als eigene Subdomain anlegen (DNS-Eintrag im CCP für die Subdomain nicht vergessen), dann lässt sich dafür auch ein eigenes LE-Zertifikat (über Plesk) ziehen.


    Aber wie geschrieben: Mangels Webhosting kann ich es nicht selbst ausprobieren. Würde mich aber wundern, wenn man nicht für jeden per Plesk anlegbaren virtuellen Host ein LE Zert ziehen kann. Notfalls über DNS-Challenge, wobei das natürlich mehr Aufwand macht.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.