Как установить wildcard SSL сертификат на WHM с использованием плагина Let's Encrypt и DNS Cloudflare?

Содержание

Вопрос или проблема
Ответ или решение
Шаг 1: Настройка DNS-зоны в Cloudflare
Шаг 2: Настройка WHM для использования AutoSSL
Шаг 3: Запуск процесса AutoSSL
Шаг 4: Проверка и устранение неполадок
Шаг 5: Настройка SSL в Cloudflare
Шаг 6: Проверка сертификата
Заключение

Вопрос или проблема

Как установить wildcard SSL сертификат на WHM с использованием плагина Let’s Encrypt и DNS Cloudflare?

Я использую cPanel 92 на CentOS 7, и моя зона DNS для domain.com работает на Cloudflare (бесплатный тариф Cloudflare), и у меня возникают проблемы с тем, чтобы запустить мои поддомены (поддомены поддомена) по HTTPS. Безопасность не очень важна, так как никакой конфиденциальной информации нет, но доверие пользователей имеет первостепенное значение, поэтому я не могу позволить себе предупреждения о безопасности.

У меня есть:

Настроенный wildcard поддомен (поддомен поддомена) для пользователя в cPanel (*.tech.domain.com)
Установлен провайдер Let’s Encrypt AutoSSL на WHM
Создана запись в зоне DNS для domain.com на Cloudflare для ‘*.tech’
Экспериментировал с включением/выключением прокси трафика в Cloudflare (часто просто оставляя Cloudflare действовать исключительно как зона DNS)
Экспериментировал с добавлением правила страницы для *.tech.domain.com, устанавливая SSL-опцию на ‘Гибкий’, так как по умолчанию она ‘Полная’ для domain.com.

К сожалению, мне ни разу не удалось загрузить какой-либо поддомен без предупреждения о безопасности. Часто поддомен отказывается полностью загружаться из-за ‘ERR_SSL_VERSION_OR_CIPHER_MISMATCH’. В другие разы он загружался, но выдавал предупреждение, так как работал на самоподписанном сертификате.

Я читал, что я, возможно, не смогу сделать это вышеперечисленным образом, потому что активная зона DNS для domain.com должна находиться на сервере, чтобы AutoSSL мог добавить соответствующие проверки в зону. Я не полностью понимаю, так ли это, потому что AutoSSL, кажется, работает для других поддоменов на сервере, которые не используют зону DNS сервера.

Я трижды пытался ‘Сгенерировать новый SSL-сертификат и запрос на подпись’, и не уверен, нужно ли мне теперь ждать ответа от Let’s Encrypt? Похоже, есть или была возможность просматривать ожидающие запросы сертификатов в CA, но я не вижу такой возможности, чтобы проверить, есть ли что-то в ожидании.

Мне не очень важно, зашифрован ли трафик между Cloudflare и моим сервером. Мне не важно, является ли сертификат, который видит браузер, сертификатом cPanel, Let’s Encrypt или Cloudflare, я просто хочу, чтобы это выглядело безопасно для конечного пользователя. Я готов управлять этим вручную и загружать новый сертификат (и повторять каждый квартал/год), если это необходимо.

Я немного растерян, так как не очень знаком с тем, как это все работает, любые советы или рекомендации будут приветствоваться.

Установить только как прокси.
Запустить autossl на whm. (Устранить любые проблемы, которые могут возникнуть)

Ответ или решение

Чтобы установить wildcard SSL-сертификат на WHM с использованием плагина Let’s Encrypt и DNS Cloudflare, необходимо выполнить несколько шагов. Вот полное руководство, которое поможет вам избежать ошибок и неразберихи в процессе:

Шаг 1: Настройка DNS-зоны в Cloudflare

Убедитесь, что для вашего домена настроены записи DNS в Cloudflare. В частности, вам нужна запись для поддомена *.tech.domain.com:
- Войдите в свою панель управления Cloudflare.
- Перейдите на вкладку "DNS".
- Добавьте запись типа A (или CNAME), указывающую на ваш сервер с WHM.
- Убедитесь, что прокси Cloudflare (облачик должен быть оранжевым) включен, чтобы использовать SSL Cloudflare.

Шаг 2: Настройка WHM для использования AutoSSL

Войдите в WHM как root.
Перейдите в раздел "Manage AutoSSL".
Убедитесь, что установлен провайдер Let’s Encrypt и он активен.
Проверьте, что AutoSSL запущен для всех аккаунтов или выберите конкретный аккаунт, для которого хотите установить сертификат.

Шаг 3: Запуск процесса AutoSSL

После настройки, вернитесь в "Manage AutoSSL".
Выберите опцию "Run AutoSSL for All Users" или “Run AutoSSL” для конкретного аккаунта, на котором находится ваш wildcard поддомен.
Периодически проверяйте журнал запросов на SSL, чтобы понять, есть ли проблемы с выдачей сертификата.

Шаг 4: Проверка и устранение неполадок

Если возникли ошибки, проверьте следующие моменты:
- Убедитесь, что ваш домен и поддомен правильно указаны в настройках DNS.
- Проверьте, что OpenSSL установлен и обновлен на сервере.
- При необходимости проверьте файлы журнала (например, /usr/local/cpanel/logs/error_log) на наличие ошибок.

Шаг 5: Настройка SSL в Cloudflare

Если у вас возникают проблемы с сертификатами, убедитесь, что уровень шифрования Cloudflare установлен на "Full" или "Full (strict)", если вы установили сертификат в WHM.
Добавьте правило страницы, чтобы переопределить поведение SSL для вашего поддомена. Можете установить правило, которое перенаправляет с HTTP на HTTPS.

Шаг 6: Проверка сертификата

После завершения процесса AutoSSL проверьте, работает ли ваш сайт на https://*.tech.domain.com.
Используйте инструменты, такие как SSL Checker, чтобы убедиться, что сертификат установлен и валиден.

Заключение

С настройками DNS Cloudflare и WHM на базе AutoSSL, вам не потребуется вручную загружать сертификаты. Однако важно следить за работой AutoSSL и уровнем шифрования в Cloudflare. По завершении всех этих действий ваш поддомен должен загружаться корректно без предупреждений о безопасности.

Если у вас возникнут еще проблемы, не стесняйтесь обратиться за дополнительной помощью, предоставив конкретные ошибки или проблемы, с которыми вы столкнулись в процессе.