SSL cert - ny server - samma domän

SSL cert - ny server - samma domän

Jag håller på att flytta över en gammal ubuntu webbserver till en ny, som kommer ha annan IP, men samma domännamn.

Nu har jag kommit till skedet där jag behöver lägga på ett SSL cert. Jag skulle behöva ha SSL certet pålagt innan servern går live och blir nåbar av andra, men hur gör man det? Domännamnet är ju detsamma som på den gamla servern. Så då kan jag inte få certifieringen "authorized" eftersom att A-recordet för domänen pekar på den gamla serverns IP.

A-recordet för domänen behöver peka på den nya serverns IP för att det ska funka...

Några idéer?

Skrivet av Asce:

Jag håller på att flytta över en gammal ubuntu webbserver till en ny, som kommer ha annan IP, men samma domännamn.

Nu har jag kommit till skedet där jag behöver lägga på ett SSL cert. Jag skulle behöva ha SSL certet pålagt innan servern går live och blir nåbar av andra, men hur gör man det? Domännamnet är ju detsamma som på den gamla servern. Så då kan jag inte få certifieringen "authorized" eftersom att A-recordet för domänen pekar på den gamla serverns IP.

A-recordet för domänen behöver peka på den nya serverns IP för att det ska funka...

Några idéer?

För det första, om detta handlar om ett cert du köpt så kan du väl fortsätta att använda samma cert på den nya servern?

Om du ska köpa nytt av någon anledning (kort giltighetstid?) så lär det väl finnas någon valideringsmetod som fungerar ändå, t.ex. DNS-baserad validering.

Annars finns Lets Encrypt, där åtminstone valideringsmetoden "DNS-01" lär fungera oavsett om du pekat om A-posten ännu eller ej.

Kopiera existerade cert till nya servern och efter ompekningen av A-recorden fungerar det, bara så där rakt av - OM du gjort rätt.

Skrivet av hasenfrasen:

Kopiera existerade cert till nya servern och efter ompekningen av A-recorden fungerar det, bara så där rakt av - OM du gjort rätt.

Jo, och det är ju värt att poängtera att det är bäst att faktiskt testa först att det funkar och peka om först när eventuella problem lösts. Finns ingen anledning att peka om i blindo.

(Testa t.ex. genom att tillfälligt ändra i hosts-filen så att namnet pekar till nya serverns IP)

Eftersom certifikatet inte är knutet till ip-nummer utan till värdhuvudnamn är det ju inga problem att göra en pekare i lokal hosts-fil så att namnupplösningen pekar till den nya servern för att kunna testa att den fungerar fullt ut. Får du inte med dig privata nycklar till den nya maskinen kan det såklart kärva när du ska förnya certifikatet, men det verkar inte vara det som är problematiken här.

Skrivet av whisky:

Eftersom certifikatet inte är knutet till ip-nummer utan till värdhuvudnamn är det ju inga problem att göra en pekare i lokal hosts-fil så att namnupplösningen pekar till den nya servern för att kunna testa att den fungerar fullt ut. Får du inte med dig privata nycklar till den nya maskinen kan det såklart kärva när du ska förnya certifikatet, men det verkar inte vara det som är problematiken här.

En väldigt viktigt förtydligande här är att det kommer krångla med en gång om du inte får med dig nyckeln till certet vid flytt och inte bara vid förnyelse, utan nyckel kommer ingenting funka.

Annars är det inga som helst problem att flytta med både cert och nyckel från gamla till nya servern. Glöm bara inte alla intermediate cert om du inte har allt i en PEM.

Förlåt, glömde nämna att jag ska byta från digicert till certbot(letsencrypt).

Men jag tror jag kom på ett sätt så att jag inte riskerar nertid:

Säg att den gamla servern är example.com. Jag sätter den nya serverns IP att peka till sub.example.com. Nu genererar jag ett SSL Cert på den subdomänen. Då jag kan jobba på den via https tills den är färdig.

Sen när det är dags att gå live med nya servern så lägger jag ett Cname på example.com som pekar till sub.example.com. På så vis slipper kunder tillfälligt jobba mot http.

Nu ändrar jag i domänens DNS så att A-record example.com pekar till den nya serverns IP, genererar SSL cert för example.com och tar sedan bort Cnamet.

Borde väll funka tror jag?

Senast redigerat 2019-10-31 10:54

Du borde ju kunna validera din domän i certbot med DNS-01 challenge istället för HTTP-01 challenge. Då har du inget krav på att domänen ska peka på servern i fråga just då.
Läs mer här.

Skrivet av webbson:

Du borde ju kunna validera din domän i certbot med DNS-01 challenge istället för HTTP-01 challenge. Då har du inget krav på att domänen ska peka på servern i fråga just då.
Läs mer här.

Tackar, ska undersöka detta och se hur man gör.

Jag har googlat och googlat men hittar ingen beskrivning exakt hur man går tillväga för att utföra DNS-01 challenge. Någon som har en länk?

Skrivet av Asce:

Jag har googlat och googlat men hittar ingen beskrivning exakt hur man går tillväga för att utföra DNS-01 challenge. Någon som har en länk?

Det är pilligt!

Gör såhär istället:
Installera certbot på din gamla server och generera ett cert med ditt önskade värdnamn. Gör ingen automatisk konfiguration av apache o.s.v utan generera certet bara.
Flytta certet till din nya server.
Lägg in en manuell pekare i din dators hosts-fil och kolla så allt lirar som det ska på den nya servern.

Om allt är grönt, sätt upp certbot på din nya server och peka om domänen o.s.v. Klart!

Skrivet av Kamouflage:

Det är pilligt!

Gör såhär istället:
Installera certbot på din gamla server och generera ett cert med ditt önskade värdnamn. Gör ingen automatisk konfiguration av apache o.s.v utan generera certet bara.
Flytta certet till din nya server.
Lägg in en manuell pekare i din dators hosts-fil och kolla så allt lirar som det ska på den nya servern.

Om allt är grönt, sätt upp certbot på din nya server och peka om domänen o.s.v. Klart!

Det blir ju dock inte heller helt opilligt att föra över inte bara certet utan även certbot-konfigurationen (den automatiska förnyelsen måste ju fungera, är ju ingen större vits att bara ha ett cert i tre månader).
Dock blir det väl en fråga om vilken typ av pill man själv upplever som jobbigt och att man gör det som man tycker verkar minst jobbigt.

@evil penguin: Nja, det är ju inte direkt någon konfig att skicka med. Lägg certet på samma plats och kör certbot. Done. Dessutom har man tre månader att felsöka det om det mot förmodan skulle vara något strul

Blir väl i och för sig ingen fördel mot att bara flytta med digicert-certet.

Känns som man strular till det i onödan med dns-validering o.s.v.

Jag gör nog så att jag flyttar över digicertet först, ändrar i hosts för att se så det funkar innan jag går live. Sen när digicertet är på väg att gå ut så installerar jag certbot istället.... tror det blir enklast så.

Senast redigerat 2019-11-01 10:46