SSL cert - ny server - samma domän

Permalänk
Medlem

SSL cert - ny server - samma domän

Jag håller på att flytta över en gammal ubuntu webbserver till en ny, som kommer ha annan IP, men samma domännamn.

Nu har jag kommit till skedet där jag behöver lägga på ett SSL cert. Jag skulle behöva ha SSL certet pålagt innan servern går live och blir nåbar av andra, men hur gör man det? Domännamnet är ju detsamma som på den gamla servern. Så då kan jag inte få certifieringen "authorized" eftersom att A-recordet för domänen pekar på den gamla serverns IP.

A-recordet för domänen behöver peka på den nya serverns IP för att det ska funka...

Några idéer?

Visa signatur

💻 ROG Maximus XI Hero | i9 9900K | Corsair H115i | Samsung 960 PRO 512GB M.2 | Samsung 970 PRO 1TB M.2 | GTX 1080Ti FTW3 | Corsair 32GB (2x16GB) DDR4 3200MHz | EVGA Supernova G2 750W
📺 Dell Alienware AW2723DF 1440p 280 Hz | Acer XB271HU 1440p 165Hz
🎧 Schiit stack: Magni 3+ AMP | Modi 3 DAC | Sennheiser HD600 | HD800

Permalänk
Medlem
Skrivet av Asce:

Jag håller på att flytta över en gammal ubuntu webbserver till en ny, som kommer ha annan IP, men samma domännamn.

Nu har jag kommit till skedet där jag behöver lägga på ett SSL cert. Jag skulle behöva ha SSL certet pålagt innan servern går live och blir nåbar av andra, men hur gör man det? Domännamnet är ju detsamma som på den gamla servern. Så då kan jag inte få certifieringen "authorized" eftersom att A-recordet för domänen pekar på den gamla serverns IP.

A-recordet för domänen behöver peka på den nya serverns IP för att det ska funka...

Några idéer?

För det första, om detta handlar om ett cert du köpt så kan du väl fortsätta att använda samma cert på den nya servern?

Om du ska köpa nytt av någon anledning (kort giltighetstid?) så lär det väl finnas någon valideringsmetod som fungerar ändå, t.ex. DNS-baserad validering.

Annars finns Lets Encrypt, där åtminstone valideringsmetoden "DNS-01" lär fungera oavsett om du pekat om A-posten ännu eller ej.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Vila i frid

Kopiera existerade cert till nya servern och efter ompekningen av A-recorden fungerar det, bara så där rakt av - OM du gjort rätt.

Permalänk
Medlem
Skrivet av hasenfrasen:

Kopiera existerade cert till nya servern och efter ompekningen av A-recorden fungerar det, bara så där rakt av - OM du gjort rätt.

Jo, och det är ju värt att poängtera att det är bäst att faktiskt testa först att det funkar och peka om först när eventuella problem lösts. Finns ingen anledning att peka om i blindo.

(Testa t.ex. genom att tillfälligt ändra i hosts-filen så att namnet pekar till nya serverns IP)

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Eftersom certifikatet inte är knutet till ip-nummer utan till värdhuvudnamn är det ju inga problem att göra en pekare i lokal hosts-fil så att namnupplösningen pekar till den nya servern för att kunna testa att den fungerar fullt ut. Får du inte med dig privata nycklar till den nya maskinen kan det såklart kärva när du ska förnya certifikatet, men det verkar inte vara det som är problematiken här.

Visa signatur

WS: R7 2700x | RTX 2070S | Corsair AX860W | Lian Li PC-O11 Dynamic
Unraid: R7-2700X | GTX1050 | 3U chassi med 20 diskplatser
Servrar: 3x NUC 10 i5 ESX-kluster

Permalänk
Medlem
Skrivet av whisky:

Eftersom certifikatet inte är knutet till ip-nummer utan till värdhuvudnamn är det ju inga problem att göra en pekare i lokal hosts-fil så att namnupplösningen pekar till den nya servern för att kunna testa att den fungerar fullt ut. Får du inte med dig privata nycklar till den nya maskinen kan det såklart kärva när du ska förnya certifikatet, men det verkar inte vara det som är problematiken här.

En väldigt viktigt förtydligande här är att det kommer krångla med en gång om du inte får med dig nyckeln till certet vid flytt och inte bara vid förnyelse, utan nyckel kommer ingenting funka.

Annars är det inga som helst problem att flytta med både cert och nyckel från gamla till nya servern. Glöm bara inte alla intermediate cert om du inte har allt i en PEM.

Permalänk
Medlem

Förlåt, glömde nämna att jag ska byta från digicert till certbot(letsencrypt).

Men jag tror jag kom på ett sätt så att jag inte riskerar nertid:

Säg att den gamla servern är example.com. Jag sätter den nya serverns IP att peka till sub.example.com. Nu genererar jag ett SSL Cert på den subdomänen. Då jag kan jobba på den via https tills den är färdig.

Sen när det är dags att gå live med nya servern så lägger jag ett Cname på example.com som pekar till sub.example.com. På så vis slipper kunder tillfälligt jobba mot http.

Nu ändrar jag i domänens DNS så att A-record example.com pekar till den nya serverns IP, genererar SSL cert för example.com och tar sedan bort Cnamet.

Borde väll funka tror jag?

Visa signatur

💻 ROG Maximus XI Hero | i9 9900K | Corsair H115i | Samsung 960 PRO 512GB M.2 | Samsung 970 PRO 1TB M.2 | GTX 1080Ti FTW3 | Corsair 32GB (2x16GB) DDR4 3200MHz | EVGA Supernova G2 750W
📺 Dell Alienware AW2723DF 1440p 280 Hz | Acer XB271HU 1440p 165Hz
🎧 Schiit stack: Magni 3+ AMP | Modi 3 DAC | Sennheiser HD600 | HD800

Permalänk
Medlem

Du borde ju kunna validera din domän i certbot med DNS-01 challenge istället för HTTP-01 challenge. Då har du inget krav på att domänen ska peka på servern i fråga just då.
Läs mer här.

Visa signatur

/dev/null

Permalänk
Medlem
Skrivet av webbson:

Du borde ju kunna validera din domän i certbot med DNS-01 challenge istället för HTTP-01 challenge. Då har du inget krav på att domänen ska peka på servern i fråga just då.
Läs mer här.

Tackar, ska undersöka detta och se hur man gör.

Visa signatur

💻 ROG Maximus XI Hero | i9 9900K | Corsair H115i | Samsung 960 PRO 512GB M.2 | Samsung 970 PRO 1TB M.2 | GTX 1080Ti FTW3 | Corsair 32GB (2x16GB) DDR4 3200MHz | EVGA Supernova G2 750W
📺 Dell Alienware AW2723DF 1440p 280 Hz | Acer XB271HU 1440p 165Hz
🎧 Schiit stack: Magni 3+ AMP | Modi 3 DAC | Sennheiser HD600 | HD800

Permalänk
Medlem

Jag har googlat och googlat men hittar ingen beskrivning exakt hur man går tillväga för att utföra DNS-01 challenge. Någon som har en länk?

Visa signatur

💻 ROG Maximus XI Hero | i9 9900K | Corsair H115i | Samsung 960 PRO 512GB M.2 | Samsung 970 PRO 1TB M.2 | GTX 1080Ti FTW3 | Corsair 32GB (2x16GB) DDR4 3200MHz | EVGA Supernova G2 750W
📺 Dell Alienware AW2723DF 1440p 280 Hz | Acer XB271HU 1440p 165Hz
🎧 Schiit stack: Magni 3+ AMP | Modi 3 DAC | Sennheiser HD600 | HD800

Permalänk
Medlem
Skrivet av Asce:

Jag har googlat och googlat men hittar ingen beskrivning exakt hur man går tillväga för att utföra DNS-01 challenge. Någon som har en länk?

Det är pilligt!

Gör såhär istället:
Installera certbot på din gamla server och generera ett cert med ditt önskade värdnamn. Gör ingen automatisk konfiguration av apache o.s.v utan generera certet bara.
Flytta certet till din nya server.
Lägg in en manuell pekare i din dators hosts-fil och kolla så allt lirar som det ska på den nya servern.

Om allt är grönt, sätt upp certbot på din nya server och peka om domänen o.s.v. Klart!

Permalänk
Medlem
Skrivet av Kamouflage:

Det är pilligt!

Gör såhär istället:
Installera certbot på din gamla server och generera ett cert med ditt önskade värdnamn. Gör ingen automatisk konfiguration av apache o.s.v utan generera certet bara.
Flytta certet till din nya server.
Lägg in en manuell pekare i din dators hosts-fil och kolla så allt lirar som det ska på den nya servern.

Om allt är grönt, sätt upp certbot på din nya server och peka om domänen o.s.v. Klart!

Det blir ju dock inte heller helt opilligt att föra över inte bara certet utan även certbot-konfigurationen (den automatiska förnyelsen måste ju fungera, är ju ingen större vits att bara ha ett cert i tre månader).
Dock blir det väl en fråga om vilken typ av pill man själv upplever som jobbigt och att man gör det som man tycker verkar minst jobbigt.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

@evil penguin: Nja, det är ju inte direkt någon konfig att skicka med. Lägg certet på samma plats och kör certbot. Done. Dessutom har man tre månader att felsöka det om det mot förmodan skulle vara något strul

Blir väl i och för sig ingen fördel mot att bara flytta med digicert-certet.

Känns som man strular till det i onödan med dns-validering o.s.v.

Permalänk
Medlem

Jag gör nog så att jag flyttar över digicertet först, ändrar i hosts för att se så det funkar innan jag går live. Sen när digicertet är på väg att gå ut så installerar jag certbot istället.... tror det blir enklast så.

Visa signatur

💻 ROG Maximus XI Hero | i9 9900K | Corsair H115i | Samsung 960 PRO 512GB M.2 | Samsung 970 PRO 1TB M.2 | GTX 1080Ti FTW3 | Corsair 32GB (2x16GB) DDR4 3200MHz | EVGA Supernova G2 750W
📺 Dell Alienware AW2723DF 1440p 280 Hz | Acer XB271HU 1440p 165Hz
🎧 Schiit stack: Magni 3+ AMP | Modi 3 DAC | Sennheiser HD600 | HD800