VPS с клиентами cpanel/whm видят предупреждение ssl при посещении веб-почты

Сертификаты SSL выдаются на доменной основе. Если все домены, которые вы хотите защитить, находятся в одном домене (site1.example.com, site2.example.com и т. Д.), Вы можете получить сертификат с подстановочными знаками, который может обслуживать *.example.com. Однако если они находятся в разных доменах, вам необходимо получить отдельные сертификаты для каждого домена.

ПОСЛЕДУЮЩАЯ ПОСЛЕ УСТАНОВЛЕННОГО КОНЦЕРТА

Теперь подстановочный сертификат установлен и работает должным образом для всех клиентов, обращающихся к Webmail, cPanel и направляющих свои почтовые клиенты на входящие / исходящие серверы в хост-домен для доступа dovecot. Мы решили, что нет причин пытаться перенаправить другие протоколы за пределы HTTP, поэтому все клиенты будут перенаправлены на mail.vps.com для IMAP/POP3.

Для тех, кто хочет сделать редирект (ы) вручную, вот информация от.htaccess: ------------ НИЖЕ ------------

Переписать Engine на

Опции -индексы

RewriteCond %{HTTP_HOST} ^webmail.customer.com$ [ИЛИ]

RewriteCond% {HTTP_HOST} ^ www.webmail.customer.com $

RewriteRule ^ /? $ "Http://webmail.vps.com" [R = 301, L]

RewriteCond% {HTTP_HOST} ^ cpanel.customer.com $ [ИЛИ]

RewriteCond% {HTTP_HOST} ^ www.cpanel.customer.com $

RewriteRule ^ /? $ "Http://cpanel.vps.com" [R = 301, L]

------------ВЫШЕ------------

ОБНОВЛЕНИЕ - ЭТО РАБОТАЕТ!

Так что я понял это, протестировав временный пробный сертификат Comodo для нашего домена webmail.vps.com. Теперь я могу ввести адрес клиента webmail.client.com (нет необходимости в http или https), и он разрешается в нашем SSL https--webmail.vps.com:port без предупреждения в любом из основных браузеров. Поскольку у нас есть несколько зон принудительного входа в систему SSL, мы приобретем подстановочный сертификат *.vps.com, чтобы охватить управление нашим сервером, а также всех клиентов, использующих Webmail, cPanel и т. Д. (К вашему сведению, дешевое имя имеет лучшие цены на подстановочные знаки от 100 долларов США (Comodo EssentialSSL) до 127 долларов США (GeoTrust RapidSSL) в год). UCC будет значительно дороже из-за нескольких поддоменов для каждого клиента в дополнение к нашему собственному.

Я все еще хочу протестировать параметры подключения IMAP, POP и SMTP Relay, но в итоге у нас могут появиться новые клиенты, которые начнут использовать наш mail.vps.com на локализованном почтовом программном обеспечении и мобильных устройствах, поскольку пользователи, вероятно, меньше заботятся о скрытых настройка (установить и забыть). Существующие клиенты могут быть перенесены по мере необходимости.

Шаги, сделанные на CENTOS 5.10 с WHM 11.40.0 (сборка 26)

Если кто-то видит проблему с этой настройкой в ​​отношении потока, служебных данных, безопасности и т. Д., Пожалуйста, дайте мне знать.

1. Создайте свой CSR в WHM, а затем установите сертификат WHM/cPanel для хост-домена (я рекомендую тестировать с одним бесплатным тестовым сертификатом домена. Не забудьте использовать полное доменное имя для требуемой службы (webmail.vps.com) вместо www. Затем просто выйдите и получите свой подстановочный знак после того, как все заработает. - Comodo предлагает 90-дневную пробную версию, что было неплохо, даже если для завершения теста потребовалось <90 минут)

2. Сертификат был установлен в cPanel домена узла в разделе "TLS/SSL Manager", а затем применен ко всем службам в разделе "Управление SSL-сертификатами службы". Насколько я понимаю, новый сертификат должен применяться ко всем перечисленным службам, поскольку все они имеют один и тот же IP-адрес. В противном случае ваш браузер может получить исходный / самозаверяющий сертификат вместо этого и привести к снижению надежности тестов. В конце концов, они все равно будут иметь подстановочный знак.

3. Изначально у нас было включено "Всегда перенаправлять на SSL" в настройках настройки WHM, но чтобы этот проект работал, мне пришлось отключить настройку. Затем я выбрал "Имя хоста" для "Назначения перенаправления без SSL" и "Имя сертификата SSL" для "Назначения перенаправления SSL". Я не могу вспомнить, был ли другой параметр перенаправления для HTTP на HTTPS уже включен где-то еще в системе WHM, но я буду копать, если кому-то понадобится.

4. В клиентской cPanel перейдите в субдомены и создайте свой субдомен веб-почты, а затем создайте перенаправление на адрес веб-почты вашего хоста в той же области: webmail.client.com с корневым каталогом документа "/public_html/". Поскольку HTTPS уже перенаправляет эти службы, у меня просто получилось http:- webmail.vps.com для перенаправления.

5. Иди проверь свой DNS. Появится пара новых записей, связанных с поддоменами, и исходная запись веб-почты A должна по-прежнему указывать на основной IP-адрес.

6. Тестовое задание. Мне пришлось перезапустить браузер и очистить кеш в другом, прежде чем он получит новый сертификат. Кроме того, чтобы избежать ложных срабатываний, обязательно зайдите в браузер и удалите все ранее принятые ненадежные сертификаты, относящиеся к клиентским доменам, которые вы тестируете! Firefox по-прежнему позволяет просматривать ненадежный сертификат, прежде чем перейти к месту назначения, что хорошо для этого процесса, если вы хотите быстро увидеть, какой сертификат извлекается. Ненадежные сертификаты в IE & Chrome доступны для просмотра только после того, как вы пройдете мимо предупреждения.

Последние мысли:

На нашем сервере мы хотим, чтобы весь доступ к управлению клиентами осуществлялся только через SSL, поэтому это будет стандартная настройка для поддоменов cpanel каждой учетной записи. Многие из наших клиентов уже перешли на Office 365 или имеют локальный Exchange, поэтому я не предвижу особых хлопот для остальных, когда делаю быстрые записи cPanel (или редактируем.htaccess), а затем быстро тестирую. Мы сохраняем контрольный список настроек для новых клиентов, поэтому добавление этих перенаправлений веб-почты и cpanel в список добавит всего несколько секунд во время начальной настройки.

ПЕРВОЕ ОБНОВЛЕНИЕ

Я был совершенно неправ в использовании метода CNAME ниже. CNAME не будет "перенаправлять" один домен в другой должным образом для SSL. Я в настоящее время изучаю.htaccess и другие запрограммированные перенаправления для поддоменов, и отправлю обратно, если они работают для этой цели. В противном случае, я думаю, моя команда должна будет использовать UCC в корневом домене VPS, который охватывает необходимые клиенты, или получить каждому клиенту статический IP-адрес со своими собственными подстановочными сертификатами. Для многих это нежелательная цена, но многие жалуются на предупреждения SSL. Как указал vortaq7, наши клиенты также не хотят вводить наш основной домен веб-почты вместо своего собственного.

Оригинальный пост

Я не могу пока оставить прямой ответ / комментарий с резьбой, поэтому в ответ на vortaq7... Джон был немного расплывчатым, но я понял, что он имел в виду:

Создайте запись CNAME "веб-почта" в DNS клиента, которая указывает на основной URL-адрес вашего веб-почты для входа в VPS: webmail.client.com > CNAME > webmail.vps.com

После этого вход в систему SSL будет охватываться первичным подстановочным знаком VPS или сертификатом UCC. Кроме того, клиенту нужно только ввести свой собственный домен (webmail.domain.com) и может даже не заметить перенаправление на основной VPS (webmail.vps.com). Даже если они заметят, это не должно иметь никакого значения для любого, кто не хочет выкладывать для своего собственного доменного сертификата.

Получите сертификат и направьте его на свой домен, а не на свой, для своей веб-почты.