Let's Encrypt 证书的问题：https://www.website.com 无法使用重定向到 https://website.com

Question

我为网站（此处称为 website.com）生成的证书存在问题。

我可以在浏览器中输入http://www.website.com 并成功重定向到我想要的https://website.com（使用let's encrypt 生成的证书）。我已经用 Apache2 重写规则完成了这个重定向。当我键入 http://website.com 时，重定向到 https://website.com 也可以正常工作。

现在，当我直接在浏览器中输入 https://wwww.website.com 时，我遇到了一个问题：我收到以下错误：

为了生成让我们加密的证书，我执行了以下命令：

./certbot-auto certonly --no-bootstrap --no-self-upgrade --renew-by-default -a standalone -d website.com --rsa-key-size 4096

我想生成一个适用于website.com 和www.website.com 的证书：上面带有cerbot-auto 的命令是否正确？

似乎在我从 Debian 7 迁移到 Debian 10 之前，我在浏览器的证书信息窗口中有一个 *.website.com 名称，但我不确定。

如何输入https://www.website.com并正确重定向到https://website.com而不出现上图所示的错误？

更新 1

单个证书是否足以执行所有重定向，我的意思是在我的情况下只有一个证书 website.com ？我以前的操作系统就是这种情况，我认为我只有一个 uniq 证书（用于website.com）。

我想要以下重定向：

http://website.com -----> https://website.com

http://www.website.com -----> https://website.com

https://www.website.com -----> https://website.com

除了包含目录podcast 的 URL，我希望在该目录中保持 HTTP 模式。

所以，从Ref: Apache redirect www to non-www and HTTP to HTTPS，我做到了：

RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www\. [NC]
RewriteCond %{REQUEST_URI} !^/podcast [NC]
RewriteRule ^ https://website.com%{REQUEST_URI} [L,NE,R=301]

这些重写规则似乎正确吗？

很遗憾，如果我直接输入https://www.website.com，我并没有重定向到https://website.com，并且出现上图的Warning窗口，我不知道该怎么办。

更新 2

1) Let's Encrypt 提供生成“通配符”证书的可能性吗？我的意思是，当我们在浏览器中查看证书时，格式为*.website.com。

2) 此外，有谁知道如何使用 apache2 重写规则，允许将 https://www.website.com 重定向到 https://website.com。

为了获得更多信息，我开始赏金了。 在赏金结束时，我会讨论如何进行从https://www.website.com 到https://website.com 的重定向（这些 URL 在相同的 href 标签下被屏蔽为赏金，但它们是不同的）。

更新 3

感谢您的回答。我认为我的问题与通配符证书无关，因为我只想从 https://www.website.com 重定向到 https://website.com（不要考虑上面的 UPDATE 2。当然应该是一个简单的重写规则足够了。在我当前的操作系统（Debian 10）之前，我运行良好的所有配置文件，我现在再次尝试使用。特别是，我只使用了一个使用选项“-d website.com”生成的证书（我没有使用第二个域“www.website.com”）。

我将尝试修改这些重写规则以获得此重定向，而不必生成 www.website.com 证书文件。

Answer 1

您可以尝试对原始 certbot-auto 命令运行此次要更新，以使您的证书包含额外的 www.website.com 域名 （我相信这就是约翰汉利在评论你原来的问题时所说的） 请注意，根据一个来源（下面的letsencrypt社区链接），如果您已经设置了URL重写规则，则可能必须删除它们，然后才能进行认证过程。 （如果你运行命令并得到一个错误，这可能就是原因）

./certbot-auto certonly --no-bootstrap --no-self-upgrade --renew-by-default -a standalone -d website.com -d www.website.com --rsa-key-size 4096

可能有用的参考资料：

certbot 的命令参数参考（手册页） https://certbot.eff.org/docs/man/certbot.html?highlight=bootstrap

让我们对添加新域的社区讨论进行加密 https://community.letsencrypt.org/t/add-a-domain-using-certbot-auto/33660

letsencrypt 用于更新现有证书的文档 https://certbot.eff.org/docs/using.html#re-creating-and-updating-existing-certificates 请注意，根据手册页，--renew-by-default 意味着--expand，在这些示例中使用 （--expand 只是让您不必回答是否有意更新现有证书）

我认为您的重写规则看起来大部分都很好，如前所述，可能需要暂时删除它以生成证书。在这些规则之前，您可能需要“RewriteEngine On”：

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www\. [NC]
RewriteCond %{REQUEST_URI} !^/podcast [NC]
RewriteRule ^ https://website.com%{REQUEST_URI} [L,NE,R=301]

关于通配符证书的问题，它们是受支持的，但只有在附加插件的帮助下。在这里查看更多： https://certbot.eff.org/docs/using.html?highlight=wildcard#id14

Answer 2

LetsEncrypt 提供通配符证书以执行*.website.com，但它们只能通过 DNS-01 级别的挑战颁发。

您正在使用 HTTP 验证，其中上传特定文件以证明所有权，但这不足以证明您拥有整个域的所有权。

Certbot 对自动颁发通配符证书的支持有限，但如果您滚动到通配符部分，this 可能对您有用。您拥有的操作系​​统 + 服务器 + DNS 提供商受到限制。基本上，您需要能够通过您的注册商自动创建和修改 DNS TXT 记录。

我发现使用acme.sh 项目来颁发通配符证书更加灵活，并且可以与更多的 DNS 提供商合作，尽管它更像是一个手动过程。

如果您的域的主要 DNS 提供商不受支持，您可以查看“别名模式”，在这种模式下，您可以使用另一个受支持的 DNS 提供商上的子域或其他域作为您的代理域来验证你拥有你的主域。