Waarom wordt mijn wildcard-certificaat niet gemigreerd naar ACME?

Bij een migratie naar ACME moet de nieuwe certificaataanvraag exact dezelfde **Subject Alternative Names (SAN’s)** bevatten als het bestaande certificaat.

Een wildcard-certificaat bevat vaak twee namen:

Voorbeeld:

* `*.example.com`

* `example.com`

Wanneer één van deze namen ontbreekt in de nieuwe aanvraag, wordt er geen migratie uitgevoerd maar wordt er een nieuw certificaat aangemaakt.

---

Hoe moet ik een wildcard-certificaat correct migreren?

Gebruik bij Certbot altijd zowel het apex-domein als het wildcard-domein.

Correct voorbeeld:

```bash

certbot certonly \

-d "example.com" \

-d "*.example.com"

```

Hierbij is belangrijk dat het apex-domein als eerste `-d` argument wordt meegegeven.

---

Waarom moet het apex-domein als eerste worden opgegeven?

Voor wildcard-certificaatmigraties wordt verwacht dat het apex-domein de eerste domeinnaam in de aanvraag is.

Bijvoorbeeld:

Goed:

```bash

-d "dev.example.com" \

-d "*.dev.example.com"

```

Niet aanbevolen:

```bash

-d "*.dev.example.com" \

-d "dev.example.com"

```

De volgorde zorgt ervoor dat de bestaande migratie correct gekoppeld kan worden.

---

Wat gebeurt er als ik alleen het wildcard-domein opgeef?

Voorbeeld:

```bash

certbot certonly \

-d "*.example.com"

```

Dan wordt het certificaat gezien als een nieuw certificaat met alleen de wildcard SAN.

Het bestaande certificaat met:

* `example.com`

* `*.example.com`

wordt dan niet volledig gemigreerd.

---

Hoe weet ik dat een migratie niet gelukt is?

Wanneer de migratie niet correct is uitgevoerd:

* wordt een nieuw certificaat aangemaakt

* krijgt het certificaat een nieuwe looptijd

* blijft in het portaal de optie **“Cancel migration”** zichtbaar

Dit betekent dat de oorspronkelijke migratie nog niet is afgerond.

---

Voorbeeld: migratie van `report.example.com`

Bestaand certificaat:

* `report.example.com`

* `*.report.example.com`

Correcte aanvraag:

```bash

certbot certonly \

--server "https://acme.networking4all.com/dv-wildcard" \

-d "report.example.com" \

-d "*.report.example.com"

```

Hierdoor wordt het bestaande certificaat gekoppeld aan ACME.

---

Voorbeeld: certificaat uitbreiden met de ontbrekende SAN

Wanneer een wildcard-certificaat alleen:

```text

*.dev.example.com

```

bevat, maar ook:

```text

dev.example.com

```

nodig heeft, vraag dan opnieuw aan:

```bash

certbot certonly \

--server "https://acme.networking4all.com/dv-wildcard" \

--expand \

-d "dev.example.com" \

-d "*.dev.example.com"

```

Hiermee wordt het bestaande certificaat uitgebreid.

---

Welke ACME-directory URL moet ik gebruiken?

Voor wildcard-certificaten gebruik je:

```text

https://acme.networking4all.com/dv-wildcard

```

Voor andere certificaattypes kan een andere ACME-directory URL gelden.

Controleer altijd dat de gebruikte ACME-directory overeenkomt met het type certificaat dat je wilt aanvragen.

---

Waarom werd er bij mijn aanvraag een nieuw certificaat gemaakt?

Een nieuw certificaat ontstaat meestal wanneer:

* de SAN’s niet exact overeenkomen

* het apex-domein ontbreekt

* een bestaande migratie niet gekoppeld kan worden

* er meerdere certificaten met dezelfde domeinnaam bestaan

---

Hoe controleer ik welke certificaten lokaal aanwezig zijn?

Gebruik:

```bash

sudo certbot certificates

```

Controleer hierbij op dubbele certificaten, bijvoorbeeld:

```text

example.com

example.com-0001

```

Een suffix zoals `-0001` betekent meestal dat er meerdere Certbot-certificaten bestaan.

---

Wat moet ik doen als er dubbele certificaten zijn ontstaan?

Controleer eerst welk certificaat actief gebruikt wordt.

Daarna:

1. verwijder of archiveer oude certificaten indien nodig

2. vraag het juiste certificaat opnieuw aan

3. controleer de SAN’s

4. herlaad de webserver, reverse proxy of load balancer

---

Hoe controleer ik of de migratie succesvol is?

Na de aanvraag:

```bash

sudo certbot certificates

```

Controleer:

* juiste domeinen aanwezig

* juiste SAN’s aanwezig

* certificaat wordt beheerd door de Networking4all ACME-server

Wanneer de migratie succesvol is afgerond, verdwijnt de optie **“Cancel migration”** in het portaal.

---

Samenvatting: juiste werkwijze voor wildcard migratie

Gebruik altijd:

```bash

certbot certonly \

--server "https://acme.networking4all.com/dv-wildcard" \

-d "<apex-domein>" \

-d "*.<apex-domein>"

```

Voorbeeld:

```bash

-d "example.com" \

-d "*.example.com"

```

Op deze manier worden wildcard-certificaten correct gemigreerd inclusief de alternative name (SAN).

Networking4all Helpdesk

ACME Migratie van wildcard-certificaten naar ACME met Certbot Afdrukken

Waarom wordt mijn wildcard-certificaat niet gemigreerd naar ACME?

Hoe moet ik een wildcard-certificaat correct migreren?

Waarom moet het apex-domein als eerste worden opgegeven?

Wat gebeurt er als ik alleen het wildcard-domein opgeef?

Hoe weet ik dat een migratie niet gelukt is?

Voorbeeld: migratie van `report.example.com`

Voorbeeld: certificaat uitbreiden met de ontbrekende SAN

Welke ACME-directory URL moet ik gebruiken?

Waarom werd er bij mijn aanvraag een nieuw certificaat gemaakt?

Hoe controleer ik welke certificaten lokaal aanwezig zijn?

Wat moet ik doen als er dubbele certificaten zijn ontstaan?

Hoe controleer ik of de migratie succesvol is?

Samenvatting: juiste werkwijze voor wildcard migratie

ACME Migratie van wildcard-certificaten naar ACME met Certbot Afdrukken

Waarom wordt mijn wildcard-certificaat niet gemigreerd naar ACME?

Hoe moet ik een wildcard-certificaat correct migreren?

Waarom moet het apex-domein als eerste worden opgegeven?

Wat gebeurt er als ik alleen het wildcard-domein opgeef?

Hoe weet ik dat een migratie niet gelukt is?

Voorbeeld: migratie van `report.example.com`

Voorbeeld: certificaat uitbreiden met de ontbrekende SAN

Welke ACME-directory URL moet ik gebruiken?

Waarom werd er bij mijn aanvraag een nieuw certificaat gemaakt?

Hoe controleer ik welke certificaten lokaal aanwezig zijn?

Wat moet ik doen als er dubbele certificaten zijn ontstaan?

Hoe controleer ik of de migratie succesvol is?

Samenvatting: juiste werkwijze voor wildcard migratie

Gerelateerde artikelen