Recientemente comencé a desempeñar un papel como ingeniero de operaciones de sistemas. Sin embargo, todavía me faltan algunos conceptos básicos, específicamente con respecto a los certificados SSL/TLS y su relación con DNS.
Este es el caso de uso:
- Una empresa con la que tratamos tiene su propio sitio web y dominios, con sus propios certificados SSL. Llamaremos a su dominio que quiero usar aquí.datos.ejemplo.com
- Alojamos nuestro propio sitio web y dominios, con nuestros propios certificados SSL. Llamaremos aquí a nuestro dominio que quiero usar.nuestrosdatos.nuestroejemplo.com
- Lo que quiere la empresa con la que tratamos es que cuando vayas ahttps://datos.ejemplo.com, en realidad obtienes el contenido dehttps://nuestrosdatos.ourexample.com
Para ello entiendo que existen dos posibilidades:
- (bastante claro para mí) Cree una redirección a nivel del servidor web ya sea a través de nginx/apache: esto implica que ambos dominios todavía tienen sus propios certificados SSL, pero es solo cuestión de escribir algunas líneas en un archivo de configuración, nada que ver con cualquier configuración DNS.
- (aquí es donde se me empieza a complicar) Pedir a la empresa con la que tratamos que nos proporcione información de RSC (https://en.wikipedia.org/wiki/Certificate_signing_request) para que podamos generar un archivo CSR... a partir de la clave privada que utilizamos para generar nuestros propios certificados SSL...? Luego entregamos el CSR y ellos pagan su propio certificado SSL. Luego pueden crear un nuevo CNAME que redireccionarádatos.ejemplo.com.anuestrosdatos.ourexample.com.. Lo que me dicen es que la CSR es una especie de clave pública, por lo que podemos entregársela fácilmente a otra persona. Pero incluso si esta descripción describe correctamente el proceso, honestamente no sé qué sucede, dónde y por qué se hace esto.
Finalmente, algo que he notado en el caso en el que se generó CSR desde nuestro lado y se creó el CNAME es que cuando vamos ahttps://datos.ejemplo.com, vemos el contenido dehttps://nuestrosdatos.ourexample.comy la URL que se muestra en el navegador permanecehttps://datos.ejemplo.com. No estoy seguro de si esto está relacionado con alguna configuración del servidor web o con las "configuraciones" de DNS.
Espero que lo que describí sea algo claro. Si no, házmelo saber e intentaré darte más detalles.
Nota: Ya intenté encontrar algunas respuestas a esto, pero aunque entendí un par de cosas aquí y allá, todavía no está 100% claro.
Gracias, SilentSib
Respuesta1
Supongo que data.example.comestará alojado ensulocales y example.comno quiere que sus clientes vean que usted está brindando los servicios.
Si ese es el caso sólo necesitas dos Apacheanfitriones virtualeso dos nginxServidores virtualesque están configurados para servir el mismo contenido.
¿Qué pasa con los certificados? No es muy complicado si entiendes los conceptos decriptografía de clave pública.
Básicamente (en uno de los algoritmos más implementados,RSA), tienes dos claves Ay B. Los datos cifrados con Asólo se pueden descifrar con B( Ano se pueden descifrar) y viceversa. Distribuyes uno de ellos y lo llamas.Llave pública, el otro se mantiene en secreto y se llamallave privada. La clave pública se usa para cifrar datos que solo usted puede descifrar, la clave privada también se puede usar para firmar: al cifrar una secuencia de bytes previamente acordada (el hash de un mensaje, por ejemplo) con la clave privada, todos los demás pueden descifrarla. y verifique que tiene la clave privada.
Las otras partes delInfraestructura de Clave Públicason:
- certificados: un archivo que contiene su clave pública, su nombre de dominio y algunos otros datos, firmado por una persona confiablellave privada(cuya clave pública es distribuida y confiable para todos los navegadores). Solo elnombre de dominioestá en el certificado, no en ningún otro dato
DNS(bueno, puede solicitar agregar su dirección IP al certificado si lo desea), por lo que no tiene que cambiarlos cuando algo cambia. - CSR: casi lo mismo que un certificado. Contiene su clave pública, su nombre de dominio y algunos otros datos, firmados por sullave privada(para demostrar que tienes la llave). Prácticamente las autoridades certificadoras utilizan sólo la clave pública del CSR y, a veces, el nombre de dominio (si no lo toman de un formulario HTML).
Las claves privadas son económicas (un par de segundos para generarse en un servidor ocupado). Es muy poco probable que su cliente utilice la misma clave privada para data.example.comy example.com(a menos que tenga ambos nombres en el mismo certificado). Entonces:
- Si tu cliente ya tiene un certificado para
data.example.com, pídele que te envíe el certificado y la clave privada correspondiente (de forma segura). Ya no los usarán más. - Si su cliente no tiene un certificado para
data.example.com, genere unnuevoclave privada y certificarla.Nouse la clave privada para sus otros dominios. Generalmente se genera una nueva clave privada, incluso al renovar un certificado. Si colocaourdata.example.netel mismo certificado, todos verán quién brindadata.example.comlos servicios. - También puedes usarVamos a cifrarsi su cliente acepta sus términos. De esta forma podrás tener un certificado válido en cuestión de segundos y sin costes adicionales.