Plesk: Let's Encrypt Wildcard / Platzhalter-Zertifikat

Let's Encrypt Wildcard-Zertifikate können nur mit Plesk Nameservern wie ns1/ns2.srv.metanet.ch genutzt werden, da für die Validierung ein zusätzlicher DNS-Eintrag erforderlich ist. Ohne Wildcard-Zertifikat können dennoch Domains wie www.ihredomain.ch geschützt werden. Für die Nutzung von Wildcard-Zertifikaten müssen die Plesk Nameserver eingetragen sein. Nach Änderung der Nameserver kann es einige Stunden dauern, bis die Warnung verschwindet. Neue Subdomains benötigen eine manuelle Zertifikatszuweisung.

Let's Encrypt Wildcard-Zertifikate sind nur bei Nutzung der Plesk Nameserver (z.Bp. ns1/ns2.srv.metanet.ch) möglich.

Ausgangslage
Ursache
Lösung
Hintergrund
Zusätzliche Information – neue Subdomains

Ausgangslage

Der Versuch ein Let's Encrypt Wildcard-Zertifikat auszustellen schlägt fehl, da die Option "SSL/TLS-Platzhalterzertifikat ausstellen" nicht anwählbar ist.

Ursache

Bei Wildcard/Platzhalter-Zertifikaten (z.B. *.domain.ch) ist zur periodischen Validierung ein zusätzlicher DNS-Eintrag erforderlich. Dieser muss vor der regelmässigen Erneuerung des Zertifikats ebenfalls ersetzt werden. Damit das automatisiert erfolgen kann, müssen zwingend die Plesk Nameserver (z.B. ns1/ns2.srv.metanet.ch) bei der Domain hinterlegt sein.

Lösung

1. Variante: ohne Wildcard arbeiten

Da Wildcard-Zertifikate (*.domain.ch) nur in Ausnahmefällen benötigt werden, können Sie die Option in der Regel einfach ignorieren und trotzdem www.ihredomain.ch, ihredomain.ch sowie das Webmail und allfällige Domain-Aliase schützen.

2. Variante: Nameserver-Umstellung

Falls zwingend mit einem Wildcard/Platzhalter-Zertifikat gearbeitet werden soll, stellen Sie bitte vorgängig sicher, dass bei der Domain die zuständigen Plesk Nameserver (z.Bsp. ns1/ns2.srv.metanet.ch) eingetragen sind.

Alle Details hierzu erhalten Sie unter: Plesk DNS-Verwaltung

Ein vereinfachter Import der bestehenden DNS-Zone ist ab METANET-eigenen Nameserver (z.B. ns.ch-meta.net, ch.pro.io) oder DNS Cloud möglich. Beachten Sie hierzu Plesk DNS-Verwaltung: Import

Nach Anpassung der Nameserver kann es noch einige Stunden dauern, bis die Warnung nicht mehr angezeigt wird, da das eigentliche Reload-Update bei der Registrierstelle abgewartet werden muss.

Hintergrund

Um Zertifikate ausstellen zu können, muss sichergestellt werden, dass die beantragende Person die Kontrolle über die jeweilige Domain besitzt und hierfür berechtigt ist.

Die Domain-Validierung erfolgt bei den Let’s Encrypt Standard-Zertifikaten (Beispiele: www.domain.ch, domain.ch, webmail.domain.ch sowie alias.ch www.alias.ch) über den Web-Server. Sprich, sobald die Domain auf den korrekten Plesk Ziel-Server verweist, kann das Zertifikat validiert und ausgestellt werden.

Bei Wildcard-Zertifikaten reicht diese Art der Validierung nicht. Hierbei ist die Kontrolle der DNS-Zone der Domain erforderlich sowie eine Schnittstelle, damit der einzutragende DNS TXT-Record auch regelmäßig erneuert und das Zertifikat verlängert werden kann.

Zusätzliche Information - neue Subdomains

Bei nachträglich hinzugefügten Subdomains wird das Zertifikat nicht automatisch aktiv. Es muss zuerst zugewiesen werden.

Klicken Sie dazu bei der Subdomain auf Hosting-Einstellungen, setzen Sie Haken bei SSL/TLS-Unterstützung. Wählen Sie bei Zertifikat das Let's Encrypt Zertifikat aus und bestätigen Sie die Auswahl mit OK.