Gültige HTTPS-Zertifikate für Intranet-Subdomains mit letsencrypt ausstellen

tag-icon tag-icon domain-name-system ssl-certificate https internal-dns lets-encrypt
Gültige HTTPS-Zertifikate für Intranet-Subdomains mit letsencrypt ausstellen

Ich versuche, sichere Dienste in meinem Intranet zu Hause bereitzustellen. Bisher habe ich selbstsignierte Zertifikate mit einer erfundenen Domäne example.foound einer Subdomäne für meine separaten Systeme (z. B. srv1.example.foo) verwendet. Diese Domänen sind auf meinem lokalen DNS-Server definiert.

Jetzt habe ich die Domain gekauft example.com, habe aber keine Pläne, öffentliche Dienste anzubieten. Ich habe auch einen VPS mit statischen IPs, auf die ich verweisen kann example.com.

Ich möchte ein Platzhalter-Letsencrypt-Zertifikat für meine Intranet-Systeme erstellen *.example.com. Um lokale Systeme von allem Öffentlichen zu trennen, würde ich eine Subdomäne auf meinem lokalen DNS definieren, die nicht auf öffentlichen DNS-Servern aufgelöst werden sollte (z. B. *.local.example.com). Lokale Intranet-Systeme sollten daher Namen wie verwenden srv1.local.example.com.

Ist dieses Setup realisierbar?

Kann ich ein solches Zertifikat auf meinem VPS erstellen *.example.comund Intranetdienste mit dem generierten Zertifikat sichern? Soll mein lokaler DNS-Server Domänen wie srv1.local.example.comprivate IPs auflösen und keine privaten IPs oder Domänen der Öffentlichkeit preisgeben?

Antwort1

Kann ich ein solches Zertifikat auf meinem VPS für *.example.com erstellen und mit dem generierten Zertifikat Intranet-Dienste sichern?

Ja, aber das ist eine seltsame Vorgehensweise. Die Automatisierung wird dadurch nicht gerade vereinfacht.

Ich würde certbot (oder welches Tool auch immer Sie verwenden) auf demtatsächlichSystem, das das Zertifikat benötigt, oder ein Server in Ihrem Netzwerk, von dem das System, das es benötigt, es abrufen kann.

VerwendenDNS-Challenge-Authentifizierungum die Kontrolle über die Domäne zu validieren. Dies erfordert einen externen DNS-Anbieter mit API, z. B. Route53, Cloudflare, Azure oder eine Vielzahl anderer.

Sie benötigen keine öffentlichen DNS-Einträge außer den TXT-Einträgen, die zur Bestätigung des Eigentums verwendet werden.

Antwort2

Sie können kein Wildcard-Zertifikat für erstellen *.example.comund es für verwenden s1.sd.example.com. So funktionieren die Zertifikate. Wenn Sie ein Wildcard-Zertifikat für erstellen möchten, s1.sd.example.commuss es für sein*.sd.example.com

verwandte Informationen