Adicionar subdominio em configuração já realizada

https://crt.sh/?q=salud.com.br)
Posso ler respostas em inglês:

Meu nome de domínio é: salud.com.br

Executei esse comando:

Produziu essa saída:

Meu servidor web é (com versão): EC2 Ubuntu AWS

O sistema operacional no meu servidor web é (com versão): Ubuntu 18.04

O serviço de hospedagem do meu site (se aplicável) é: Amazon AWS

Prezados boa tarde,
Gostaria de saber como adicionar o subdominio mail.salud.com.br pois quando eu fiz a configurção fiz apenas com salud.com.br e www.salud.com.br, sendo que o certificado não pode ser alterado por conta de tratativas com o sistema do banco que faz pagamento com cartão de credito. ou seja, as chaves tem que permanecer as mesmas.

Bom dia @fabio_aragao,

Você usou o Certbot para obter seu certificado atual? Você já sabe fazê-lo além da dúvida sobre a chave? Com o uso de --cert-name e a necessidade de indicar a lista completa de domínios a serem incluídos?

Tem pelo menos duas opções:

  • Pode criar um certificado independente apenas para mail.salud.com.br, que não afetará seu certificado atual. Terá outra chave mas não será visível ao banco, pois o banco usa outros nomes para acessar seu site.
  • Pode reemitir seu certificado atual, adicionando o nome. Com o Certbot, temos a opção --reuse-key que vai mantar a chave atual na renovação.

Vale a pena pensar nisso mesmo com a primeira opção acima. Por padrão, o Certbot não mantém a chave quando renova um certificado. Assim, se precisa sempre da mesma chave, seria útil já incluir essa opção na sua configuração! Se não me engano, é possível fazê-lo também adicionando reuse_key = True nas [renewalparams] no arquivo de configuração em /etc/letsencrypt/renewal, mas isso será feito pelo próprio Certbot se reemitir o certificado com --reuse-key na linha de comando.

Olá @schoen,

  • Eu utilizei do CertBot para obter sim o certificado
  • Eu utilzei o comando sudo certbot --apache -d salud.com.br -d www.salud.com.br para instalar o certificado, gostaria então de incluir o subdomino mail.salud.com.br sem que as chaves fossem trocadas, e não podemos pensar em trocar as chaves todas as vezes que formos renovar o certificado, temos que manter as chaves, senão, temos que mandar as novas chaves para o banco e o banco tem que reconfigurar o acesso de segurança, e isso demora uns 15 dias com o site sem o https.

Eu acho melhor incluir o reuse_key = True pois assim na renovação automatica não precisaria fazer nada, correto??

Obrigado por responder

Sim, acho que tem razão.

De toda forma, talvez seria mais fácil também criar um certificado distinto para mail.salud.com.br — o banco tem que acessar esse site?

Bom dia @schoen o banco faz o “handshake” pelas chaves, para tanto, temos que enviar todas as chaves para o banco onde eles irão validar e montar a API, enviar para nosso time de desenvolvimento e dai aplicar na programação do site.

Mas, o banco usa o subdomínio “mail” também?

Não não, usa apenas as chaves para salud.com.br e www.salud.com.br

Então um certificado independente para o subdomínio “mail” não afetaria as interações com o banco. :slight_smile:

@schoen poderia por gentileza passar os comandos para este certificado?
te agradeço bastante

a linha deve ficar na forma que o reuse_key = True fique na linha logo abaixo do [renewalparams] ou pode ser em qualquer linha dentro de [renewalparams] ???

Pode ser em qualquer linha.

O subdomínio mail já existe e já aponta para esse mesmo servidor?

Olá @schoen desculpe a demora,

o mail aponta para outro servidor, pois os emails estão contratados em outra empresa, ou seja, temos o servidor web na AWS, e os emails estão em uma outra hospedagem

Geralmente, seria mais fácil pedir o certificado no servidor para qual o nome aponta. Se for administrado por outra empresa, aquela empresa seria responsável por fazê-lo, e teria que falar com o pessoal dela.