Chyba v SSL?

Mas to tam napsane... ta validace se nedokaze dostat k souboru na adrese http://poradna.olsen-spa.cz/.well-known/acme-challenge/sxdLdRNgAdQmGIAM-h_6K0aHAl1SOJbZ_qyG-bZPBpw

Nastav si spravne cesty a pak to pojede.

Promiň za můj (asi) hloupý dotaz, ale v tomto jsem amatér. Kde si mám ty cesty nastavit? To je nějaký modul či plugin, kde to půjde nastavit? Nebo kde to hledat a upravit? Děkuji za odpověď.

Registroval si na svůj email nějaký certifikát pro Let's Encrypt? Pokud ne, tak si to na něj nejspíš zaregistroval někdo jiný.

Na tomto emailu běží 2 weby. olsen-spa.cz (který má SSL nově) a poradna.olsen-spa.cz (který SSL asi ani nemá podle všeho o.O).

Stejně jako si žádal o certifikát na hlavní doménu, musí si zažádat i o subdomény. Let's Encrypt zatím nepodporuje wildcard certifikáty.

Díky. Já o první certifikát nežádal. Říkám, že jen občas vypomáhám a s tímto zrovna zkušenosti nemám, proto jsem napsal sem. Děkuji za info.

Však já taky nepsal o tobě, nýbrž o něm.

Pro tebe bude asi nejlepsi upravit to tak, at pouzivas jeden certifikat vystaveny pro domeny olsen-spa.cz a poradna.olsen-spa.cz misto toho, abys pro kazdou subdomenu generoval novy certifikat. To bude nejjednodussi a nejlepsi reseni.

A můžu se zeptat, kde a jak to udělat? Nejlépe ais kdybyste mě odkázali na nějaký internetový návod. Děkuji.

Nikdo nevi, jaka je struktura toho webu, jak je resene generovani certifikatu... zadny navod ti nikdo neporadi. Prvni veci je zajistit, aby si ten validacni server dokazal stahnout soubor http://poradna.olsen-spa.cz/.well-known/acme-challenge/sxdLdRNgAdQmGIAM-h_6K0aHAl1SOJbZ_qyG-bZPBpw a ne aby mu to vracelo error 404. Bez toho se dal nepohnes.

Nejjednodušší možná ano, ale certifikáty jsou obvykle placené. Let's Encrypt dává certifikáty zdarma, ale zatím nepodporuje wildcardové.

Vsak nepotrebuje wildcard. Proste jen v zadosti o novy certifikat napise vice domenovych jmen. Ale jak jsem se koukal, tak i pro poradna.olsen-spa.cz pouziva jiny certifikat.

Nepotřebuje wildcard ale:

certifikáty jsou obvykle placené

Let's Encrypt dává certifikáty zdarma

a pri zadosti o certifikat tam muzes napsat alternativnich domenovych jmen plnej kotel.

U Let's Encypt se o certifikáty nežádá klasicky jako u jiných CA. Používá se tam ACME protokol. Možná mi něco uniklo, ale pro víc domén najednou to snad nejde.

Jj, uniklo (nic ve zlym)
Multiple domains with single certificate

To je ale certbot, nikoliv LE jako takový. Ale OK.

Za to, že mu to chodí na e-mail, môže pravdepodobne pravidelne spúšťaný klient pre generovanie a aktualizovanie Let's Encrypt certifikátov. Ten klient sa volá certbot a snaží sa vygenerovať/aktualizovať certifikát pre poradna.olsen-spa.cz.

Aby Let's Encrypt vedel overiť, že klient má kontrolu nad doménou, vytvorí klient v koreňovom adresári webu súbor .well-known/acme-challenge/{náhodný reťazec}. Ten náhodný reťazec si klient (certbot) vypýta od servera Let's Encrypt. Ten potom overí, že taký súbor existuje. Ak neexistuje, certifikát sa nevygeneruje. Súbor sa klientovi podarilo vytvoriť, ale server ho zvonku nevidí.

Takže teraz je otázka, prečo ten súbor v adresári .well-known/acme-challenge nie je zvonku viditeľný. Dosť často je to spôsobené tým, že aplikácia v adresári poradna obsahuje rewrite pravidlo, ktoré namiesto náhodného súboru poskytne iný obsah. Vo vašom prípade to je ale spôsobené tým, že máte ten web chránený autentifikáciou - to aspoň prezrádza kód 403 a odpoveď unauthorized. Takže riešením je povoliť prístup do adresára .well-known.

Nastavenie autentifikácie sa robí buď na úrovni aplikácie alebo na úrovni webového servera. Takže sa buď pozrite do konfigurácie virtual hosta alebo do .htaccessu alebo do aplikácie a tam to upravte, aby autentifikácia nebola vyžadovaná. To, že ste to nastavili správne, overíte napríklad tak, že vytvoríte v danom adresári ľubovoľný súbor a pozriete si ho cez prehliadač. Ak to bude nastavené správne, uvidíte obsah súboru. Ak nesprávne, uvidíte stránku, ktorá vráti kód 403.