Let's Encrypt für Subdomains - eine wird verschlüsselt, eine andere nicht ?

  • Hallo zusammen!


    Mir ist klar, dass das Thema breit getreten und nervig ist. Allerdings finde ich in den vielen Threads keine klare Antwort auf meine Frage, und als Laie ist das Thema komplex.

    Also, erst einmal hatte ich verstanden, dass Netcup daran arbeitet, die Wildcard-Zertifikate von LetsEncrypt einzubauen. Das ist aber schon eine Weile her und ich sehe keine Einstellung dazu.


    Was ich bisher gemacht habe:

    1. In der Kundenverwaltung das Häkchen gesetzt für das kostenlose SSL-Zertifikat. Das klappt für die Domains die-zurhorts.de und http://www.die-zurhorsts.de.
      Wenn ich die Seite (Wordpress) besuche, dann werden http-Requests auf https:// umgeleitet und alles funktioniert wie es soll.
    2. Darüber hinaus habe ich noch 2 Subdomains: cloud.die-zurhorsts.de und genealogie.die-zurhorsts.de
      Und hier gibt es nun merkwürdige Unterschiede, die ich nicht verstehe.
    • a. bei den Hosting-Einstellungen von genealogie.die-zurhorsts.de werden mir nur händisch angelegte Zertifikate im Dropdown angeboten, welche ich über sslforfree.com erzeugt habe.
      Das muss ich dann alle 6 Wochen selbst erledigen.
    • b. bei den Hosting-Einstellungen von cloud.die-zurhorsts.de werden mir auch Zertifikate von LetsEncrypt angezeigt. z.B. le_20180806115435_die-zurhorsts.de (cloud.die-zurhorsts.de)
      Hier verstehe ich nicht, wieso in Klammern "cloud"... dahinter steht, da diese Subdomain ja nicht teil des orginalen LE-Zertifikats ist? Und wieso taucht es da in der Liste auf?
    • c. zu allem Überfluss wird das LE-Zertifikat bei cloud.die-zurhorsts.de übrigens auch als nicht vertrauenswürdig gekennzeichnet. Ich habe dieses also auch ersetzt durch ein manuell erzeugtes Zertifikat von sslforfree.com.



    Kann mir jemand erklären, wieso das LE-Zertifkat bei einer Subdomain in der Liste angezeigt wird, und bei einer anderen nicht?

    --- Ist das korrekt so, dass ich die Subdomains manuell bearbeiten muss, oder gibt es da mehr Komfort?


    Vielen Dank.


    Gruß,

    Marcus Zurhorst

  • Hay,


    mich wundert, dass noch niemand was geschrieben hat :D


    Vorab: Ich habe kein Webhosting, da ich auf meinem Root-Server aber auch Plesk habe, könnte die Ähnlichkeit groß genug sein.


    Von hinten nach vorne.


    c - https://cloud.die-zurhorsts.de/ wird korrekt und "vertrauenswürdig" mit grünem Schloss angzeigt.. Aber existiert keine http-301-Weiterleitung von http:// auf https://


    pasted-from-clipboard.pngpasted-from-clipboard.png


    a und b - ich gehe davon aus, dass die cloud. und genealogie. als "Subdomain-Webseiten" in Plesk angelegt sind. Wenn ja, dann (zumindest bei mir), gibt es in den Domain-Einstellungen einen eigenen Punkt "Lets'Encrypt". Hast Du das bei beiden angeklickt - gibt dann ein eigenes Zertifikat für die beiden? Dann werden Letsencrypt-zertifkate für beide erstellt. Und bei beiden in den Hosting-Einstelllungen dann natürlich SSL-Untestützung und Dauerhafte Umleitung einschalten. Damit sollte das eigentlich erledigt sein.


    Ich habe auch irgendwo mal den Trick gelesen (hängt vermutlich von der Plesk-Version ab), dass man die Subdomains als vollwertige Domains anlegt anstatt eben von Subdomains.


    Aber egal wie, wenn letsencript auf den Subdomains (oder den vorgetäuschten kompletten Domains) eingestellt ist, kommen die Aktualisierungen automatisch.

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hallo Peter,

    vielen Dank.


    Ja, die Weiterleitung fehlt. Die muss ich mal eintragen, danke.

    Das Schloss ist aber erst grün, seit ich heute manuell ein LE-Zertifikat eingetragen habe über sslforfree.com.


    So schaut das bei mir aus im WCP für cloud.die-zurhorsts.de.

    Die vielen LE_... Einträge sind automatisch für die Domain erstellt worden und funktionieren dort.

    Wieso sie hier auftauchen, ist mir ein Rätsel.

    pasted-from-clipboard.png


    Und für genealogie.die-zurhorsts.de werden nur meine manuell erstellten angezeigt.

    Damit ist das Schloss ebenfalls grün.

    pasted-from-clipboard.png



    Ich habe nun https://cloud.die-zurhorsts.de nochmal zurück gestellt auf das automatisch erstellte LE-Zertifikat.

    Dann kannst du den Fehler sehen.



    Danke & Gruß,

    Marcus

  • Hay,


    ok - das (jetzt installierte) Zertifikat auf cloud.x ist kein Zertifikat für die Subdomain, sondern für die Hauptdomain. Dass dies kein grünes Schloss gibt, ist klar. Ich habe mir gestern auch nicht den Aussteller des Zertifikats angesehen, da ich zunächst einmal davon ausging, dass sich seit Deinem Post nichts geändert hat.


    Ich kann es nicht nachvollziehen. Die Darstellung in meinem Plesk ist naturgemäß etwas anders.


    Testweise habe ich bei mir mal test-1.pkleemann.de und test-2.pkleemann.de angelegt, die -1 als eigene Domain, die -2 als Subdomain. Für beide konnte ich anschließend problemlos Lets Encrypt-Zertifikate anfordern, sie wurden automatisch installiert und mit eingeschalteter Weiterleitung alles grün. Die Zertifikate sind auch qualitativ gleichwertig.


    Einziger Unterschied:

    Wenn ich den Punkt "SSL/TLS-Zertifikate" aus der Domainübersicht aufrufe, dann erscheinen bei der als Subdomain angelegten test-2 alle Zertifikate der Domain und unterhalb (also auch der anderen Subdomains), bei der als echte Domain angelegten test-1 nur das Zertifikat von test-1. Allerdings nicht als Dropdown, sondern etwas "aufwändiger" gestaltet, vermutlich weil ich ein "großes" Plesk in der Reseller-Version habe während das WCP angepasst ist und Du nur die Kundenansicht hast.


    test-2:

    pasted-from-clipboard.png

    test-1:

    pasted-from-clipboard.png


    Steht das hier in Deiner Domainübersicht oben?


    pasted-from-clipboard.png


    Kannst Du mal eine weitere test-Domain hinzufügen - als Domain, nicht als Subdomain - (das funktioniert sofort ohne eigenen DNS-Eintrag, wenn im CCP/Domain/DNS-Einstellungen ein *-A-Record auf die IP angelegt wurde) und dann mal Lets Encrypt laufen lassen und die Weiterleitung reinhauen? Nur um mal zu sehen, ob das funktioniert.


    Wie hast Du konkret das andere kostenlose Zertifikat "manuell" installiert?


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.