我有一个centos6 VPS与cpanel / whm,我重新销售networking空间给客户端,我做IT的工作。 我想知道是否存在这样一个ssl证书,我将能够阻止我的客户在访问那里时看到的个人webmailurl,如“webmail.examplesite.com”和“webmail.thiswebsite.com”
我正在为VPS的域名(vps1.mydomain.com)获得一个SSL证书,以便我的客户可以使用正确的SSL连接与电子邮件,我想知道如果我可以做任何事情来解决这一个议案。
SSL证书是以域为基础发布的。 如果您希望保护的所有域位于同一域(site1.example.com,site2.example.com等)之下,则可以获得可以为* .example.com提供服务的通配证书。 如果他们在不同的领域,那么你将需要为每个领域获得单独的证书。
随后安装最终版本的CERT
通配证书现在已安装并正常工作,用于访问Webmail,cPanel的所有客户端,并将其邮件客户端传入/传出服务器指向主机域以进行“dovecot”访问。 我们已经决定没有理由尝试重新引导HTTP以外的其他协议,因此所有客户都将被redirect到mail.vps.com以用于IMAP / POP3。
对于任何想手动执行redirect的人来说,这里是来自.htaccess的信息:———— BELOW ————
重写引擎
选项 – 索引
RewriteCond%{HTTP_HOST} ^ webmail.customer.com $ [OR]
RewriteCond%{HTTP_HOST} ^ http://www.webmail.customer.com $
RewriteRule ^ /?$“http://webmail.vps.com”%5BR = 301,L]
RewriteCond%{HTTP_HOST} ^ cpanel.customer.com $ [OR]
RewriteCond%{HTTP_HOST} ^ http://www.cpanel.customer.com $
RewriteRule ^ /?$“http://cpanel.vps.com”%5BR = 301,L]
– – – – – – 以上 – – – – – –
更新 – 它的工作!
所以我想通过testing一个临时的Comodo试用证书为我们的webmail.vps.com域。 我现在可以input客户端的webmail.client.com地址(不需要http或https),并且在任何主stream浏览器中都没有警告的情况下parsing到我们的SSL https–webmail.vps.com:port。 由于我们有多个强制的SSLlogin区域,我们将购买一个* .vps.com通配符证书来覆盖我们的服务器pipe理以及任何使用Webmail,cPanel等的客户端。(仅供参考, 100美元的通配符(Comodo EssentialSSL)到每年127美元(GeoTrust RapidSSL)。 由于每个客户的多个子域位于我们自己的顶部,所以UCC的成本将会相当高。
我仍然想要testingIMAP,POP和SMTP中继连接的选项,但最终我们可能会让新客户开始在本地化的电子邮件软件和移动设备上使用我们的mail.vps.com,因为用户可能不太在乎隐藏设置(设置和忘记)。 现有客户可以根据需要进行迁移。
CENTOS 5.10与WHM 11.40.0(第26版)
如果有人在stream量,pipe理费用,安全等方面看到这个设置有问题,请告诉我。
在WHM中创buildCSR,然后为主机域安装WHM / cPanel证书(我推荐使用单个域名免费试用证书进行testing。不要忘记将FQDN用于所需服务(webmail.vps.com),而不是www。然后出去,在万事俱备之后拿出你的通配符 – Comodo提供了一个90天的试用期,尽pipe最终花费了90分钟才完成testing)
证书安装在主机域的cPanel“TLS / SSL Manager”下,然后应用于WHM“pipe理服务SSL证书”下的所有服务。 我的理解是,新证书需要适用于所有列出的服务,因为它们都共享相同的IP。 否则,您的浏览器可能会提取原始/自签名证书,导致testing的可靠性下降。 无论如何,他们最终都会得到通配符。
我们原本在WHM的调整设置下启用了“总是redirect到SSL”,但是为了这个项目起作用,我必须禁用这个设置。 接下来,我select了“非SSLredirect目的地”的“主机名”和“SSLredirect目的地”的“SSL证书名称”。 我不记得是否已经在WHM系统的其他地方启用了另一个HTTPS到HTTP的redirect设置,但是如果有人需要我,可以挖掘它。
在客户端的cPanel中,转到子域名并创build您的webmail子域名,然后在同一区域创build一个到您主机的webmail地址的redirect:webmail.client.com w / Document root为“/ public_html /”。 由于HTTPS已经redirect了这些服务,所以我只是简单地将http: – webmail.vps.com作为redirect。
去validation你的DNS。 将有一些新的子域相关的条目,原始networking邮件Alogging仍应该指向主IP。
testing。 我必须重新启动一个浏览器,然后清空另一个caching,然后才能拉入新的证书。 此外,为了避免误报,请确保您进入浏览器并删除之前接受的与您正在testing的客户端域相关的不可信证书! 如果您想快速查看哪个证书被拉入,Firefox仍然允许您查看不受信任的证书,然后继续进行适合此过程的目标。在IE和Chrome中不受信任的证书只有在您超过警告后才能查看。
最后的想法:
通过我们的服务器,我们希望所有的客户端pipe理访问都只能通过SSL,所以这也是每个帐户的cPanel子域的标准设置。 我们的许多客户已经迁移到Office 365或现场交换,所以在制作快速cPanel条目(或编辑.htaccess)时,我不会预见到其余的巨大麻烦,然后快速testing。 我们为新客户保留一个设置清单,因此,在初始设置期间,将这些webmail&cpanelredirect添加到列表中仅会添加几秒钟。
第一次更新
我完全错用了下面的CNAME方法。 对于SSL,CNAME不会“正确地”将一个域redirect到另一个域。 我目前正在研究.htaccess和其他程序redirect的子域名,并会回来,如果他们的工作是为了这个目的。 否则,我认为我的团队将不得不与覆盖必要客户端的根VPS域上的UCC一起去,或者使用自己的通配符证书为每个客户端分配一个静态IP。 对许多人来说这不是一个理想的成本,但是不less人抱怨SSL警告。 正如vortaq7指出的那样,我们的客户也不想input我们的主要webmail域名而不是他们自己的域名。
原始post
我不能留下直接的线索回复/评论,所以回复vortaq7 …约翰有点模糊,但我的意思是:
在客户端的DNS中创build一个“webmail”CNAMElogging,该logging指向您的VPS的主要webmailloginurl:webmail.client.com> CNAME> webmail.vps.com
SSLlogin将被覆盖在VPS的主要通配符或UCC证书下。 此外,客户端只需键入他们自己的域(webmail.domain.com),甚至可能永远不会注意到redirect到VPS的主(webmail.vps.com)。 即使他们注意到了,对于任何不愿意为自己的域名证书而掏腰包的人也没关系。
获取证书,并引导他们到您的域名,而不是他们的networking邮件。