私は Nginx を使って個人用 VPS を設定しており、サービスのセキュリティを確保する方法について読んでいました。しかし、証明書と HTTPS の管理について少し不明な点が 1 つありました。
サードパーティプロバイダーからドメイン名 (www.example.com) を購入し、無関係の当事者によって提供される VPS の IP を指すようにドメインを構成する場合、証明書を管理するのは誰ですか?
すべての処理 (証明書、TLS 構成、https リスニングなど) を VPS と Nginx 構成で行う必要がありますか、それともすべてがドメイン名プロバイダーによって管理されますか? または、一部はドメイン名プロバイダーによって処理され、一部は Nginx 構成で処理されますか?
答え1
ご質問の通りの対応をさせていただきます。
全体像の概要は次のとおりです。
証明機関 (DNS プロバイダーと呼びます) に、必要な情報をすべて提供します。これには、支払いや身分証明などが含まれます。
発行機関として自らを示す証明書が提供されます。
次に、その証明書を使用するように Web サーバーを構成します。
誰かが HTTPS でページにアクセスすると、「HTTPS」の「S」は「Secure」を表します。以前は、HTTPS の実装方法が SSL 経由の HTTP であったため、S は SSL を表すと考えるのが安全でした。現在では、古い SSL バージョンの代わりに TLS が最新の実装として一般的に使用されています。
Web クライアント (通常は「Web ブラウザ」と呼ばれます) が TLS (または SSL) を使用すると、Web サーバーから証明書が取得されます (これは自動的に生成された証明書であり、証明機関から取得した証明書とはいくつかの点で異なります)。次に、Web クライアントは証明書が信頼できるかどうかを確認します。Web ブラウザが受信する証明書には、証明書と証明機関の痕跡が残ります。Web ブラウザは、証明書がその証明機関の承認を得て作成されたことを判別できます。
Web クライアントは、通常 Web ブラウザやオペレーティング システムに付属している独自の「証明書ストア」を参照します。市販の証明書は、広く認知され信頼されている証明機関を指していると考えられるため、Web クライアントは Web サーバーが信頼できるとみなします。
支払った証明書を入手したら、それを他の人に渡さないようにしてください。(通常は、使用している Web サーバーを運営している会社など、信頼できる人以外には共有しないことをお勧めします。ただし、独自の Web サーバーを運営している場合は、この例外は適用されない可能性があります。ただし、「仮想プライベート サーバー」(「VPS」) が暗号化されていない場合は、おそらく VPS ホストがデータにアクセスできます。) 信頼できない人がその証明書のコピーを入手した場合、その人はあなたであると信頼される可能性があります。言い換えると、そのような泥棒はあなたの ID を盗むことができるということです。したがって、支払った証明書を公開しないでください。
DNS プロバイダーで実行できることの 1 つは、DNS リソース レコードを設定することです。多くの場合、DNS プロバイダーで AAAA レコードや A レコードを設定します。個人的には、DNS プロバイダーで NS レコードを設定し、AAAA レコードや A レコードを自分でホストする傾向があります。DNS プロバイダーは、証明書を提供する組織と同じである必要はありません (証明機関として「Let's Encrypt」を使用する場合は、異なる組織であると考えられます)。
答え2
サードパーティプロバイダーからドメイン名 (www.example.com) を購入し、無関係の当事者によって提供される VPS の IP を指すようにドメインを構成する場合、証明書を管理するのは誰ですか?
VPS を管理している人がこれを管理します。ドメイン レジストラ (ドメイン名プロバイダー) は技術的には、VPS に関連付けられた IP アドレスとドメイン名のエントリのみを扱います。
すべての処理 (証明書、TLS 構成、https リスニングなど) を VPS と Nginx 構成で行う必要がありますか、それともすべてがドメイン名プロバイダーによって管理されますか? または、一部はドメイン名プロバイダーによって処理され、一部は Nginx 構成で処理されますか?
証明書、TLS、https などはすべて、Nginx などを使用してサーバー上で構成するものです。ドメイン名プロバイダーは、この点では役割を果たしません。