Problem defining Let’s Encrypt certificate for subdomain. (Проблема с определением сертификата Let’s Encrypt для поддомена.)

Good time of day. There is a slight problem with Let’s Encrypt. There is a domain, the domain has three subdomains, two sites (subdomains) of which are hosted, and the third site (subdomain) refers to a different IP (physical server). For the third subdomain, a DNS record with type A and a different IP address has been added. The Let’s Encrypt certificate for the third subdomain is created separately through the site. But after a while, such a problem arises when you open the site (third subdomain), he wants to tighten the domain certificate. Is it possible to somehow differentiate the certificates, say bind to a specific IP?

Добрый время суток. Есть небольшая проблема с Let’s Encrypt. Есть домен, у домена есть три поддомена, два сайта (поддомена) из них находятся на хостинге а третий сайт (поддомен) ссылается на другой IP (физический сервер). Для третий поддомена добавлена DNS запись с типом A и другой IP адрес. Сертификат Let’s Encrypt для третьего поддомена создан отдельно через сайт. Но через время возникает такая проблема при открытии сайта (третий поддомен) он хочет подтянуть сертификат домена. Можно ли как-то разграничит сертификаты скажем привязать к определённому IP?

Your auto translation is a bit hard to understand and we do not have a russian speaking dev in our team, but for sure we’ll try to help you.

Subdomain 1 and 2 points to hestia, subdomain 3 to another server? If yes, you can only create a Let’s Encrypt certificate for 1 and 2. But you need to try to explain your problem a bit better.

Connection failed: Possible Security Risk

Firefox detected a possible security risk and did not open asu.dtrek.dp.ua, because to connect to this site you need to establish a secure connection.

How can you fix this?

asu.dtrek.dp.ua has a security policy called Forced Secure HTTP Connection (HSTS), which means that Firefox can only connect to it through a secure connection. You cannot add an exception to visit this site.

Most likely, this problem is related to the website itself, and you can not do anything about it. You can tell the website administrator about this problem.

Websites authenticate with certificates. Firefox does not trust this site because it uses a certificate that is not valid for asu.dtrek.dp.ua. The certificate is valid only for the following domains: dtrek.dp.ua, www.dtrek.dp.ua

Error Code: SSL_ERROR_BAD_CERT_DOMAIN

View certificate

(Соединение не установлено: Вероятная угроза безопасности

Firefox обнаружил вероятную угрозу безопасности и не стал открывать asu.dtrek.dp.ua, так как для подключения к этому сайту необходимо установить защищённое соединение.

Как вы можете это исправить?

asu.dtrek.dp.ua имеет политику безопасности называемую Форсированное защищённое соединение HTTP (HSTS), что означает, что Firefox может подключиться к нему только через защищённое соединение. Вы не можете добавить исключение, чтобы посетить этот сайт.

Скорее всего, эта проблема связана с самим веб-сайтом, и вы ничего не сможете с этим сделать. Вы можете сообщить администратору веб-сайта об этой проблеме.

Веб-сайты подтверждают свою подлинность с помощью сертификатов. Firefox не доверяет этому сайту, потому что он использует сертификат, недействительный для asu.dtrek.dp.ua. Сертификат действителен только для следующих доменов: dtrek.dp.ua, www.dtrek.dp.ua

Код ошибки: SSL_ERROR_BAD_CERT_DOMAIN

Просмотреть сертификат)

You enabled the hsts checkbox, which now results in this issue for the other domain.

Checkout how hsts is working, you probaly also a valid ssl cert for the third domain: https://en.m.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Is it possible to get a wildcard certificate in hestiacp

Only if you use the hestia dns service (for example as master-master cluster setup) as your nameserver. The validation needs a dns record, doesnt work over the http verification - this feature has already been built in.

How to make a group certificate for a domain and three subdomains (there is an instruction)

I don’t know what you mean with group certificate, but with let’s encrypt you can create a cert for each domain - or if subdomain and domain should share the same hosting, you can also work with the field “alias”, then hestia will generate also certificates for all aliases.