Also die kostenlosen Zertifikate beinhalten domain.de sowie *.domain.de, somit sollten doch alle Subdomains wie zum Beispiel mail.domain.de mit abgesichert sein ?
Wenn ja verstehe ich Cloudflare nicht, da mein Zertifikat nicht sicher wäre oder liegt es an dem Port das nicht alle gehen ?
Das "mail.domain.de" aus deinem Beispiel ja, ein "ich.bin.toll.domain.de" nicht. Das Wildcard bezieht sich in dem Kontext nur auf genau ein Element.
Und warum das nicht weiter beschriebene Zertifikat für den nicht näher beschriebenen Anwendungsfall ungültig/unsicher ist, wird schwierig zu beantworten, ohne weitere Details.
Ein Zertifikat muss auch den entsprechenden Diensten zugewiesen werden, von sich aus macht ein Zertifikat erst mal nichts.
Also im Beispiel mail.domain.de muss in der Konfiguration des Mailservers das Zertifikat hinterlegt werden.
ein *.domain.de und mail.domain.de muss nicht zwangsläufig funktionieren
warum?
* oder app.domain.de -> A -> shared Webserver mit z.b. nginx proxy der eben weiß das app.domain.de auch existiert
mail.domain.de -> CNAME -> mail.hostanbieter.de (hat sein eigenes cert)
Wenn du nun ein ssl für * erstellst und mail.domain.de nutzt ist das niemals gültig weil du ja den shared Server des Anbeiters dahintersteht mit seinem eigenen namen/cert.
Wohingegen
mail.domain.de -> A -> dedizierter Mailserver nur für dich alleine funktionieren wird wenn du das cert in deinen Mailserver integrierst
Du solltest dein Beispiel etwas konkretisieren. Vielleicht helfen dir die erklärungen aber auch schon.
Also ich integriere das ganze in aapanel, aktuell beim Panel Login, wie das Wildcard auf einer mail also dem Mailserver reagiert oder domain.de sowie www.domain.de hab ich noch nicht getestet.
Jedoch funktioniert es beim cp.domain.de nicht, nehme ich anstatt ein eigenes Lets Encrypt funktioniert das ganze.
Was genau ist denn das Problem? Fehlermeldung? Sowas, wie z.B. ERR_CERT_DATE_INVALID. Muss man je nach Browser manchmal via "Details" oder "mehr" aufklappen.
Außerdem wäre noch wichtig, wie genau die Konstellation aussieht. Wer zeigt wem welches Zertifikat. Hängt zwischen eigentlichem Server und der Außenwelt noch ein Proxy? Welche Station fährt die TLS-Terminierung?
Wenn es mit einem LE Zertifikat, welches an derselben Stelle eingespielt wird, klappt, ist das andere Cert entweder inhaltlich anders oder es fehlt z.B. die Kette.
Das PEM ist eine einfache Textdatei. Schau rein, ob es einen "BEGIN CERTIFICATE" Block oder mehrere enthällt. Wenn es nur ein Block ist, fehlt unter Garantie die Kette. Die sollte es bei CF irgendwo geben. Such dir dann die Kette (ist meist ein weiterer Block) und häng den hinten an die Datei an. Versuch es dann damit nochmal.
Ergänzung ()
Ah, ich sehe gerade, CF Origin Zertifikate sind nicht für direkt erreichbare Systeme gedacht, das ist dein Problem.
Eine Kette gab es nicht muss mir die Seite mal übersetzen leider kann ich kein englisch und aktuell keine Ahnung was du meinst mit direkt erreichen. Wenn du meinst ob ich auf die Domaine ein SSL gesetzt habe ja SSL Vollständig (strikt).
Die Origin Zertifikate sind ausschließlich für Server, die hinter dem Cloudflare Proxy liegen.
Wenn du da direkt draufgehst, siehst du deinen Zert-Fehler.
Andere Frage: Wieso willst du denn unbedingt Cloudflare nutzen?
OK das kann dann natürlich sein weil ich habe den Proxy abgeschaltet, Mailserver unter Proxy funktioniert nicht Google ist damit nicht einverstanden wenn ich den eine Test Email sende. Ist irgendwie blöd weil dann kann ich das ganze nicht verwenden.
Muss ich wohl eine Woche warten weil ich durch meine ganzen Panel Tests welches ich nun nehme maximal Limit erreicht habe.
Also ich würde auch einen anderen Anbieter verwenden, mir geht es eigentlich darum meine Dienste nun vor einer Woche verwenden zu können. Problem durch die ganzen Tests an Panels hab ich meine Limits bei Encrypt verspielt.
Die Gültigkeitsdauer vom Zertifikat ist auch interessant. Alle gängigen Browser meckern bei einer Gültigkeitsdauer größer 398 Tage, wenn ich es richtig in Erinnerung habe. Also sollte die Zeit vor dem nächsten Versuch auf 1 Jahr reduziert werden.
Außerdem müssen Common Name und passender Subject Alternate Name im Request enthalten sein, als Beispiel mal von computerbase:
