web-dev-qa-db-fra.com

Configurer le nom commun du certificat SSL pour protéger Plesk Panel

Un scanneur de conformité PCI refuse que le certificat SSL auto-signé protégeant un accès sécurisé à Plesk Panel contienne une discordance de nom entre l'emplacement de Plesk Panel et le nom du certificat, à savoir le nom du cert auto-signé est "Parallels" et le domaine. pour arriver à Plesk est 'adresse ip: 8443'.

J'ai donc pensé que j'obtiendrais un certificat SSL gratuit pour essayer de manipuler cette erreur. Mais lorsque j'ai généré le certificat, j'ai utilisé le nom de domaine de mon serveur comme nom de site lorsque j'ai généré le certificat. Donc, si je visite le nom de domaine: 8443, tout va bien, pas d’avertissement ssl. Mais si je visite 'ip address: 8443' (ce qui, à mon avis, correspond à ce que fait le scanner), j'obtiens l'erreur d'erreur relative au nom du certificat. Le vérificateur SSL de Digicert indique que le nom du certificat doit être l'adresse ip.

Puis-je même générer un certificat dont le nom commun est l'adresse IP? Je suis tenté de dire que je devrais faire ce que le scanner PCI accepte, mais quel est le nom commun correct à utiliser? Quelqu'un at-il rencontré ce problème auparavant?

security-certificateplesk
2
Cbomb

Le balayage PCI doit être basé sur le nom de domaine et non sur l’adresse IP.

Vous aurez besoin d'examiner les détails dans le rapport PCI pour voir précisément ce qui déclenche l'erreur. Ils devraient vous donner une erreur spécifique.

La plupart des fournisseurs PCI exécutent simplement des analyses de port et tenteront de se connecter à:

https://www.domain.com:8443/

Plesk répondra sur ce domaine en provoquant un échec si le certificat utilisé est un certificat auto-signé ou non valide.

Pour corriger ce problème, vous pouvez:

  • Installez un certificat SSL dans le panneau Plesk qui correspond (exactement) au domaine en cours d'analyse.
  • Utilisez un pare-feu pour limiter le port 8443 à des adresses IP spécifiques. Vous devrez peut-être soumettre une justification pour cela.
  • Utilisez un autre certificat SSL et soumettez les résultats indiquant qu'il est valide et que le site en question ne réside pas sur le port 8443 mais qu'il s'agit du panneau de configuration. J'ai vu quelques fournisseurs de PCI accepter cela.
  • Dans les cas difficiles, nous avons dû mettre en place des règles de réécriture pour rediriger le port 8443 vers un nom canonique avec un certificat SSL correspondant.

Notez que la plupart des fournisseurs PCI n'accepteront pas de certificat auto-signé.

La solution simple consiste généralement à installer votre certificat SSL www.domain.com dans le panneau Plesk.

Vous devrez peut-être également le faire pour les versions SSL de POP/IMAP/SMTP. Ce dernier doit être effectué en ligne de commande à l'aide de fichiers PEM. Les emplacements varient en fonction du système d'exploitation et de la version de Plesk.

1
jeffatrackaid