ISPmanager 5 – скорректировать создание файлов LE-сертификатов

12
M
На сайте с 04.12.2013
Offline
197
438

В ISPmanager 5 есть модуль для автоматического выпуска и установки LE-сертификатов, но он почему-то как-то криво сохраняет файлы:

в crt-файл пишет два сертификата (1, 2), а в ca-файл – один (3). А мне надо так:

  • в один файл, желательно crt-, – сертификат 1,
  • в другой, желательно ca-, – сертификаты 2, 3.

В общем чтобы было так же, как это делает certbot. Можно это как-то побороть косметическими методами?

Может, этот баг давно исправлен, и достаточно обновить модуль?

Хостинг FOZZY ( http://fozzy.com.ru ) / Выслушаю предложения на домены ( http://u75.ru/domains-for-sale ) / Домены и скрипт для коротких ссылок ( http://u75.ru/domains-for-shortcuts )
LEOnidUKG
На сайте с 25.11.2006
Offline
1598
#1
А какая у вас версия панели? Вроде никаких проблем с сертификатами нет.
✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
M
На сайте с 04.12.2013
Offline
197
#2
LEOnidUKG #:
А какая у вас версия панели?

5 Lite или вам еще точнее?

LEOnidUKG #:
Вроде никаких проблем с сертификатами нет.
Я тоже думал, что нет, пока мне владелец сервака не показал результаты каких-то SSL-чекеров. Посмотрел и правда файлы какие-то кривые по сравнению с тем, как это делает certbot для SSLCertificateFile/SSLCertificateChainFile и т.п. директив.
LEOnidUKG
На сайте с 25.11.2006
Offline
1598
#3
5 Lite или вам еще точнее?
Да вроде вам нужна помощь, а не мне. Поэтому точнее.
LEOnidUKG
На сайте с 25.11.2006
Offline
1598
#4
 пока мне владелец сервака не показал результаты каких-то SSL-чекеров.
А конкретнее?
LEOnidUKG
На сайте с 25.11.2006
Offline
1598
#5
В общем чтобы было так же, как это делает certbot. Можно это как-то побороть косметическими методами?
В чём суть то?
M
На сайте с 04.12.2013
Offline
197
#6

Точную версию посмотрю немного позже.

LEOnidUKG #:
А конкретнее?

Ошибка: неполная цепочка сертификата.

Вообще это недавно вылезло. После того как у LE-сертификатов в цепочке появилось доп. звено ISRG Root X1. Возможно, у вас в панели сейчас то же самое происходит. Раньше, когда в файле сертификата и в файле (неполной) цепочки было по одному сертификату, этот баг не проявлялся. А сейчас в панели модуль пишет доп. звено в конец файла сертификата, а не в файл (неполной) цепочки. Естественно, если вы используете более-менее новый Apache, поддерживающий полную цепочку (fullchain), то вам этот баг, даже если он имеется, не так важен. Я столкнулся с серваком, где стоит древний Apache (даже не 2.4, хотя в ранних 2.4 такое тоже есть).

LEOnidUKG
На сайте с 25.11.2006
Offline
1598
#7
miketomlin #:

Точную версию посмотрю немного позже.

Ошибка: неполная цепочка сертификата.

Вообще это недавно вылезло. После того как у LE-сертификатов в цепочке появилось доп. звено ISRG Root X1. Возможно, у вас в панели сейчас то же самое происходит. Раньше, когда в файле сертификата и в файле (неполной) цепочки было по одному сертификату, этот баг не проявлялся. А сейчас в панели модуль пишет доп. звено в конец файла сертификата, а не в файл (неполной) цепочки. Естественно, если вы используете более-менее новый Apache, поддерживающий полную цепочку (fullchain), то вам этот баг, даже если он имеется, не так важен. Я столкнулся с серваком, где стоит древний Apache (даже не 2.4, хотя в ранних 2.4 такое тоже есть).

Если панель свежая, то там вообще nginx ставиться и в нём вся поддержка есть.

Приведите пример домена и через, что проверяете.

M
На сайте с 04.12.2013
Offline
197
#8
LEOnidUKG #:
Приведите пример домена и через, что проверяете.

Проверяю, например, через geocerts.com/ssl-checker (домен показать не могу; те, у кого ISPmanager 5 с Apache, могут проверить свои домены). Я причину упомянутой ошибки, показываемой нек. чекерами, выявил и даже исправил вручную, создав в панели из проблемных файлов «новый» сертификат с другим расположением сертификатов внутри его файлов (см. стартовый пост: если вместо 1, 2 и отдельно 3 сделать 1 и отдельно 2 и3, то упомянутая ошибка в чекерах исчезает).

Вы могли бы хотя бы проверить у себя, есть ли у вас уже в LE fullchain (в наблюдаемой мною панели полные цепочки хранятся в файлах с расширением .crtca) третье звено, т.е. третий сертификат, и если да, то где это третье звено сохраняется в случае двух отдельных файлов с расширением .crt и с расширением .ca? Если этот баг повторяется везде, буду готовить переход на использование certbot'а, а не ждать, пока его исправят в модуле панели. Конечно, остается вероятность, что это фича, а не баг, но на мой взгляд она минимальная 😀

M
На сайте с 04.12.2013
Offline
197
#9
Или лучше просто проверьте файлы crt- и ca- на предмет того, находится ли в них по одному сертификату или где-то есть два. Если есть два, то в каком именно файле? Т.к. «гулять» между файлами может не ISRG Root X1, а R3.
LEOnidUKG
На сайте с 25.11.2006
Offline
1598
#10
Никаких проблем не вижу по домену https://getmanylinks.ru/
Купить вечные ссылки для сайта
Купить вечные ссылки для сайта
  • getmanylinks.ru
Предлагаем купить вам трастовые вечные ссылки и статьи. Ручное размещение статей для поднятия позиций, траста и ИКС
png eoid25_wfzyeh_2021-06-10_000513.png
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий