VPS с cpanel/whm клиенты видят ssl предупреждение при посещении веб-почты [закрыто]

SSL-сертификаты выдаются на основе домена. Если все домены, которые вы хотите защитить, находятся в одном домене (site1.example.com, site2.example.com и т. Д.), Вы можете получить сертификат с подстановочным знаком, который может обслуживать * .example.com. Однако, если они находятся в разных доменах, вам необходимо получить отдельные сертификаты для каждого домена.

Получите сертификат и направьте их в ваш домен, а не их, для их веб-почты.

ПОСЛЕДУЮЩИЕ ДЕЙСТВИЯ С УСТАНОВЛЕННЫМ ОКОНЧАТЕЛЬНЫМ СЕРТОМ

Сертификат с подстановочными знаками теперь установлен и работает правильно для всех клиентов, обращающихся к Webmail, cPanel и направляющих серверы входящих / исходящих почтовых клиентов в домен хоста для доступа голубятню. Мы решили, что нет причин пытаться перенаправить другие протоколы за пределы HTTP, поэтому все клиенты будут перенаправлены на mail.vps.com для IMAP / POP3.

Для всех, кто хочет выполнить перенаправление (я) вручную , вот информация из .htaccess: ------------ НИЖЕ ------------

RewriteEngine на

Параметры -Индексы

RewriteCond% {HTTP_HOST} ^ webmail.customer.com $ [OR]

RewriteCond% {HTTP_HOST} ^ www.webmail.customer.com $

RewriteRule ^ /? $ "Http://webmail.vps.com" [R = 301, L]

RewriteCond% {HTTP_HOST} ^ cpanel.customer.com $ [OR]

RewriteCond% {HTTP_HOST} ^ www.cpanel.customer.com $

RewriteRule ^ /? $ "Http://cpanel.vps.com "[R = 301, L]

------------ ВЫШЕ ------------

ОБНОВЛЕНИЕ - ЭТО РАБОТАЕТ!

Итак, я решил Это можно сделать путем тестирования с временным пробным сертификатом Comodo для нашего домена webmail.vps.com. Теперь я могу ввести адрес клиента webmail.client.com (нет необходимости в http или https), и он преобразуется в наш SSL https--webmail.vps.com:port без предупреждения в любом из основных браузеров. Поскольку у нас есть несколько областей принудительного входа в систему SSL, мы купим сертификат подстановки * .vps.com, чтобы охватить управление нашим сервером, а также любые клиенты, использующие Webmail, cPanel и т. д. (к вашему сведению, похоже, что у name cheap лучшие цены на подстановочные знаки от 100 долларов (Comodo EssentialSSL) до 127 долларов (GeoTrust RapidSSL) в год). UCC будет значительно дороже из-за наличия нескольких поддоменов для каждого клиента в дополнение к нашему собственному.

Я все еще хочу протестировать параметры для подключения IMAP, POP и SMTP Relay, но в конце концов у нас могут быть только новые клиенты начните использовать наш mail.vps.com на локализованном почтовом программном обеспечении и мобильных устройствах, поскольку пользователи, вероятно, будут меньше заботиться о скрытых настройках (установить и забыть). Существующие клиенты могут быть просто перенастроены по мере необходимости.

Действия, предпринятые для CENTOS 5.10 с WHM 11.40.0 (сборка 26)

Если кто-нибудь обнаружит проблему с этой настройкой в ​​отношении потока, накладных расходов, безопасности и т. Д., пожалуйста, дайте мне знать.

1. Создайте CSR в WHM, а затем установите сертификат WHM / cPanel для хост-домена (я рекомендую протестировать с помощью бесплатного пробного сертификата для одного домена. Не забудьте использовать свое полное доменное имя для нужной службы ( webmail.vps.com) вместо www. Затем просто выйдите и получите подстановочный знак, когда все заработает. - Comodo предлагает 90-дневную пробную версию, что было неплохо, хотя в итоге на выполнение теста потребовалось <90 минут)

2. Сертификат был установлен в cPanel хост-домена в «Диспетчере TLS / SSL», а затем применен ко всем службам в «Управлении сертификатами SSL служб» WHM. Насколько я понимаю, новый сертификат необходимо применить ко всем перечисленным службам, поскольку все они имеют один и тот же IP-адрес. В противном случае ваш браузер может вытащить исходный / самоподписанный сертификат, что приведет к снижению надежности тестов. В конце концов, все они так или иначе получат подстановочный знак.

3. Изначально у нас был включен параметр «Всегда перенаправлять на SSL» в настройках настройки WHM, но для того, чтобы этот проект работал, мне пришлось отключить этот параметр. Затем я выбрал «Имя хоста» для «Назначения перенаправления без SSL» и «Имя сертификата SSL» для «Назначения перенаправления SSL». Я не могу вспомнить, был ли уже включен другой параметр перенаправления для HTTP на HTTPS где-то еще в системе WHM, но я буду копать, если я кому-то понадоблюсь.

4. В клиентской cPanel перейдите в Поддомены и создайте свой поддомен веб-почты, а затем создайте перенаправление на адрес веб-почты вашего хоста в той же области: webmail.client. com с корнем документа, являющимся "/ public_html /". Поскольку HTTPS уже выполняет перенаправление для этих сервисов, у меня просто был http: - webmail.vps.com для перенаправления.

5. Пойдите, проверьте свой DNS. Будет пара новых записей, относящихся к субдоменам, и исходная запись веб-почты A по-прежнему должна указывать на основной IP-адрес.

6. Тест. Мне пришлось перезапустить браузер и очистить кеш в другом, прежде чем он загрузил новый сертификат. Кроме того, во избежание ложных срабатываний убедитесь, что вы зашли в браузер и удалили все ранее принятые ненадежные сертификаты, относящиеся к клиентским доменам, которые вы тестируете! Firefox по-прежнему позволяет вам просматривать ненадежный сертификат, прежде чем перейти к месту назначения, что удобно для этого процесса, если вы хотите быстро увидеть, какой сертификат загружается. Недоверенные сертификаты в IE & Chrome доступен для просмотра только после того, как вы пропустите предупреждение.

Заключительные мысли:

Мы хотим, чтобы на нашем сервере весь доступ к управлению клиентом осуществлялся только через SSL, так что это будет стандартная настройка для каждого субдомена cpanel учетной записи. Многие из наших клиентов уже перешли на Office 365 или имеют локальный Exchange, поэтому я не предвижу огромных хлопот для остальных при создании быстрых записей cPanel (или редактировании .htaccess) и последующем быстром тестировании. Мы ведем контрольный список настройки для новых клиентов, поэтому добавление этих перенаправлений веб-почты и cpanel в список добавит лишь несколько секунд во время начальной настройки.

ПЕРВОЕ ОБНОВЛЕНИЕ

Я был совершенно неправ, используя метод CNAME, описанный ниже. CNAME не будет "перенаправлять" один домен на другой должным образом для SSL. В настоящее время я изучаю .htaccess и другие запрограммированные перенаправления для поддоменов, и отправлю обратно, если они работают для этой цели. В противном случае, я думаю, моей команде придется использовать UCC в корневом домене VPS, который охватывает необходимых клиентов, или получить каждому клиенту статический IP-адрес с их собственными сертификатами подстановочных знаков. Это не желательная цена для многих, но довольно многие жалуются на предупреждения SSL. Как указал vortaq7, наши клиенты также не хотят вводить наш основной домен веб-почты вместо своего собственного.

Исходное сообщение

Я пока не могу оставить прямой ответ / комментарий по цепочке, поэтому в ответ на vortaq7 ... Джон был немного расплывчатым, но я понял, что он имел в виду:

Создайте запись CNAME "веб-почты" в DNS клиента, которая указывает на основной URL-адрес входа в веб-почту вашего VPS: webmail.client.com> CNAME> webmail.vps .com

Тогда для входа в систему SSL будет использоваться основной шаблон VPS или сертификат UCC. Кроме того, клиенту нужно только ввести свой собственный домен (webmail.domain.com), и он может даже не заметить перенаправление на основной VPS (webmail.vps.com). Даже если они заметят, это не имеет значения для тех, кто не желает раскошелиться на собственный сертификат домена.