Fórum Root.cz
Hlavní témata => Server => Téma založeno: McFly 28. 10. 2025, 10:48:14
-
Zdar lidi, řešil pls někdo podobný příklad? Doména firma.cz, webhostingová prezentace u webhostingové společnosti, která využívá Letsencrypt, zbytek veřejných služeb (mail, intranet, webmail ...) provozuje s vlastním wildcard certifikátem na vlastím železe.
firma.cz + www.firma.cz - LE.ORG
*.firma.cz - OtherCA.ORG
@ IN CAA 0 issue "Letsencrypt.org"
www IN CAA 0 issue "Letsencrypt.org"
@ IN CAA 0 issuewild "OtherCA.org"
Ale co když chci jasně říci, že není možné vytvořit samostatný cert třeba pro mail.firma.cz nebo intranet.firma.cz ? Bude nutné explicitně pro každý hostname (mail, intranet, webmail ...) vytvořit záznam níže? Je má logika správná?
mail IN CAA 0 issue ";"
intranet IN CAA 0 issue ";"
-
@ IN CAA 0 issue "Letsencrypt.org"
www IN CAA 0 issue "Letsencrypt.org"
@ IN CAA 0 issuewild "OtherCA.org"
Ta pravá strana je pro LE špatně, má tam být malé el.
Ale co když chci jasně říci, že není možné vytvořit samostatný cert třeba pro mail.firma.cz nebo intranet.firma.cz ? Bude nutné explicitně pro každý hostname (mail, intranet, webmail ...) vytvořit záznam níže? Je má logika správná?
mail IN CAA 0 issue ";"
intranet IN CAA 0 issue ";"
Ano, je to přesně tak. Autority postupují od vydávaného jména a odebírají části zleva dokud buď nenajdou záznam, nebo dokud jim zbude jen public suffix. Protože webová prezentace bude chtít certifikát pro vrchol zóny (aby fungovala v prohlížečích bez "www.", je skutečně potřeba nastavit odlišné záznamy u každého jména zvlášť.
-
Perfektní, díky moc. V reálu to mám btw nastaveno správně, ale v příkladu jsem to uvedl s velkými počátečními písmeny, ani nevím proč. :)