自宅のイントラネットで安全なサービスを提供しようとしています。これまでは、架空のドメインexample.fooと、別のシステム用のサブドメイン (例srv1.example.foo) を持つ自己署名証明書を使用していました。これらのドメインは、ローカル DNS サーバーで定義されています。
ドメインを購入しましたexample.comが、公開サービスを提供する予定はありません。また、静的 IP をポイントする VPS も持っていますexample.com。
イントラネット システムで使用するために、 のワイルドカード Letsencrypt 証明書を作成したいと考えています*.example.com。ローカル システムをパブリック システムから分離するには、パブリック DNS サーバー (例 ) で解決されないサブドメインをローカル DNS に定義します*.local.example.com。したがって、ローカル イントラネット システムでは のような名前を使用しますsrv1.local.example.com。
この設定は実現可能でしょうか?
VPS でこのような証明書を作成し*.example.com、生成された証明書を使用してイントラネット サービスを保護できますか。ローカル DNS サーバーでドメインをsrv1.local.example.comプライベート IP などに解決し、プライベート IP やドメインを一般に公開しないようにしますか?
答え1
VPS 上で *.example.com 用のこのような証明書を作成し、生成された証明書を使用してイントラネット サービスを保護できますか。
はい、しかしそれは奇妙なやり方です。自動化が容易になるわけではありません。
私はcertbot(またはあなたが使用するツール)を実行します実際の証明書を必要とするシステム、または証明書を必要とするシステムが証明書を取得できるネットワーク内のサーバー。
使用DNS チャレンジ認証ドメインの制御を検証します。これには、Route53、Cloudflare、Azure などの API を備えた外部 DNS プロバイダーが必要です。
所有権の検証に使用される txt レコードを除き、パブリック DNS レコードは必要ありません。
答え2
*.example.comのワイルドカード証明書を作成して、それを に使用することはできませんs1.sd.example.com。これが証明書の仕組みです。 のワイルドカード証明書を作成する場合は、s1.sd.example.comである必要があります。*.sd.example.com