Wildcard cert (*.example.com) покрывает все subdomain одним сертификатом. Let's Encrypt выдаёт wildcard только через DNS-01 challenge (HTTP-01 не работает). Нужен API-доступ к DNS-провайдеру для автоматического добавления TXT-записи _acme-challenge. Поддерживается certbot plugins: Cloudflare, Route53, DigitalOcean, десятки других.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
apt install python3-certbot-dns-cloudflarecertbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.cloudflare.ini -d "*.example.com" -d example.comsystemctl enable --now certbot.timer| Сценарий | Конфиг |
|---|---|
| Cloudflare credentials | dns_cloudflare_api_token = YOUR_TOKEN_HERE |
| Route53 (AWS) | certbot --dns-route53 -d "*.example.com" -d example.com |
| Manual DNS-01 (любой DNS) | certbot certonly --manual --preferred-challenges dns -d "*.example.com" |
| Force renew | certbot renew --force-renewal --cert-name example.com |
| deploy-hook для nginx reload | certbot renew --deploy-hook "systemctl reload nginx" |
Чтобы получить wildcard сертификат Let's Encrypt, вам необходимо использовать ACME клиент, поддерживающий DNS-алиасы. Вы можете воспользоваться Certbot, который является одним из самых популярных ACME клиентов. Для этого вам потребуется доступ к DNS-записям вашего домена. Команда для получения wildcard сертификата выглядит следующим образом: certbot certonly --manual --preferred-challenges=dns -d '*.example.com' -d 'example.com'. Следуйте указаниям для добавления TXT-записи в DNS, чтобы подтвердить владение доменом.
Wildcard сертификаты Let's Encrypt позволяют защищать все поддомены вашего домена с помощью одного сертификата. Это особенно полезно для сайтов с множеством поддоменов, так как упрощает управление сертификатами и снижает затраты. В этом разделе мы рассмотрим процесс получения такого сертификата шаг за шагом.
Certbot — это клиент, который упрощает процесс получения и установки сертификатов Let's Encrypt. Для установки Certbot на Ubuntu выполните следующие команды:
sudo apt updatesudo apt install certbot
На других системах, таких как CentOS или Fedora, команды могут отличаться. Проверьте документацию для вашей операционной системы.
Чтобы получить wildcard сертификат, вам нужно будет подтвердить владение доменом через DNS. Для этого вы должны будете создать TXT-запись в настройках DNS. Например, если ваш домен example.com, вам нужно будет создать запись _acme-challenge.example.com с соответствующим значением, которое предоставит Certbot.
После того как вы подготовили DNS-записи, запускаем Certbot с необходимыми параметрами:
certbot certonly --manual --preferred-challenges=dns -d '*.example.com' -d 'example.com'Certbot выдаст инструкции, как добавить TXT-запись для подтверждения владения доменом. Убедитесь, что вы добавили эту запись и подождите некоторое время, чтобы DNS обновился.
После того как вы добавили TXT-запись, вернитесь в терминал и нажмите Enter. Certbot проверит наличие записи и, если все сделано правильно, выдаст вам сертификат. Сертификаты Let's Encrypt действуют 90 дней, поэтому не забудьте настроить автоматическое обновление сертификатов.
Для автоматического обновления сертификатов вы можете использовать cron. Откройте crontab:
sudo crontab -eДобавьте следующую строку, чтобы проверять обновление сертификатов ежедневно:
0 0 * * * certbot renew --quietЭто гарантирует, что ваши сертификаты будут обновляться автоматически, и вы сможете избежать проблем с их истечением.
Получение wildcard сертификата Let's Encrypt — это простой процесс, который требует лишь базовых знаний о работе с DNS и терминалом. Следуя этой инструкции, вы сможете защитить все поддомены вашего сайта с помощью одного сертификата и обеспечить безопасность данных ваших пользователей.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Wildcard удобнее при динамических subdomain (создаются автоматически). Для фиксированного набора — проще выпустить отдельные certs (лучше для revocation granularity).
Нет, Let's Encrypt поддерживает только single-level (*.example.com). Для more глубоких — нужен separate cert.
Если private key не скомпрометирован — да. Но при compromise атакующий получает доступ ко всем subdomain сразу. Ротация раз в 90 дней (автоматически) снижает risk.
Да: <code>-d "*.example.com" -d example.com</code> создаёт cert с SAN = [*.example.com, example.com]. Обычная практика.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.