nginx und certbot

[paulderfinne]

Hallo liebe Debianer,

habe eine Website in nginx angelegt und den cerbot laufen lassen:

Code: Alles auswählen

server {

    server_name www.erster_server.eu;

    root /var/www/erster_server.eu;
    index index.html;

    location / {
        try_files $uri $uri/ =404;
    }

    listen [::]:443 ssl ipv6only=on; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/www.erster_server.eu/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/www.erster_server.eu/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
    if ($host = www.erster_server.eu) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    listen 80;
    listen [::]:80;

    server_name www.erster_server.eu;
    return 404; # managed by Certbot

Das hat wunderbar funktioniert. Nun wollte ich eine zweite Website kreieren mit den gleichen Schlüsseln. Das sollte, soviel ich weiß, funktionieren.

Code: Alles auswählen

server {

    server_name www.zweiter-server.de;

    root /var/www/zweiter-server.de;
    index index.html;

    location / {
        try_files $uri $uri/ =404;
    }

    listen [::]:443 ssl ; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/www.erster-server.eu/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/www.erster-server.eu/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}
server {
    if ($host = www.zweiter-server.de) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    listen 80;
    listen [::]:80;

    server_name www.zweiter-server.de;
    return 404; # managed by Certbot


}

nginx schluckt das, aber wenn ich die Seiten aufrufe kommt der Sicherhietshinweis.
Hat jemand eine Ahnung was ich falsch gemacht habe?

[blunix]

```
server_name www.zweiter-server.de;
[...]
ssl_certificate /etc/letsencrypt/live/www.erster-server.eu/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.erster-server.eu/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
```

Das cert mit dem namen www.erster-server.eu ist nicht für die Domain mit dem Namen www.zweiter-server.de gültig. In LE kann man pro domain.tld nur ein cert bekommen. Du musst für www.zweiter-server.de auch ein Cert generieren, und sofernd Du das schon hast, das in dem zweiten Vhost fuer ssl_certificate usw auch eintragen.

[paulderfinne]

Hmm, ich war der Meinung gelesen zu haben, dass man nur EIN Schlüsselpaar braucht. Dann habe ich den chatGPT gefragt und der hat gesagt, dass das geht.

Da sieht man wieder KI ist doch nicht zuverlässig.

Hier meine Konversation mit dem Cahtbot

may I use the same ssl certificate in nginx from letsencrypt for two different websites on the same server?

Die Antwort:

Yes, you can definitely use the same SSL certificate obtained from Let's Encrypt for multiple websites hosted on the same server in Nginx. Here's how you can do it:

Und dann folg noch eine Anleitung wie ich das tun soll.

[debilian]

Da sieht man wieder KI ist doch nicht zuverlässig.

Da siehst du nur, wo du solche Dinge NICHT nachfragen solltest ;-P

[heisenberg]

Natürlich kann man auch mit Letsencrypt ein Multidomain-Zertifikat für alle verwendeten Domains anlegen. Dann hast Du nur ein Key/Cert-Paar. Aber machen würde ich das nicht. Individuelle Zertifikate sind IMHO robuster. Wenn eine Domain weggfällt, dann schlägt im Zweifelsfall die Erneuerung des entsprechenden Zertifikats fehl. Hast Du ein Multidomainzertifikat haben dann beim Fehlschlag einer Challenge alle Domains kein Zertifikat mehr.

Insofern: $LLM ist doof, hat aber hier Recht.

[paulderfinne]

Natürlich kann man auch mit Letsencrypt ein Multidomain-Zertifikat für alle verwendeten Domains anlegen.

Aber warum klappt das dann nicht?

[heisenberg]

Keine Ahnung, wie Du den certbot aufgerufen hast...

Mit den installierten Paketen certbot, python3-certbot und python3-certbot-nginx sollte das ungefähr so gehen (ohne Gewähr, ungetestet):

Code: Alles auswählen

certbot nginx -d www.domain1.de -d www.domain2.de

... und ich wiederhole: Ich empfehle das so nicht!

[blunix]

Ich benutze ChatGPT oder die bessere Alternative:

```
curl -fsSL https://ollama.com/install.sh | sh
ollama run dolphin-mixtral
```

relativ viel für meine Arbeit, und Du musst da **echt** aufpassen. Das fantasiert ziemlich viel kram zusammen wenn es um halbwegs komplexes Linux-Zeugs geht.

@heisenberg, stimmt du hast recht, multi domain cert geht auch - ich mache immer DNS challange und hatte das nicht mehr im Kopf.

[Draal]

Ich arbeite auch mit letsencrypt und hatte für 5 Subdomains Schlüssel angelegt.
Eine Subdomain ist ausgezogen und ich hatte eine Umleitung angelegt. letsencrypt meckerte und ich hab den Schlüssel entfernt. Während dieser Zeit liefen jedoch die anderen Subdomains ungestört.
Es ist ja nun kein Teufelswerk einen neuen Schlüssel per Certbot anzulegen.

[paulderfinne]

Es ist ja nun kein Teufelswerk einen neuen Schlüssel per Certbot anzulegen.

Stimmt, habe ich auch getan

[Draal]