Mi dominio es (ejemplo): midominio.eu y está sincronizado con mi IP dinámica con np-ip.
En casa, tengo un servidor web que escucha el puerto 80/443 y obtuve un nuevo certificado comodín de Let's Encrypt con certbot y lo implementé con registro DNS (txt).
Creo que es suficiente, pero no...
Necesito un certificado para otro servidor (cname midominio.eu: nube.midominio.eu e mail.midominio.eu) y configuro cname en mi panel de proveedor.
También configuré un servidor en la nube con Nextcloud y quiero obtener un certificado para este servidor. Recibo un error porque certbot quiere los puertos 80 y 443, pero mi Ncserver escucha en los puertos 81 y 1443. En el futuro, crearía un correo web interno que escuche también otro puerto.
Configuración interna
Example:
WEBSERVER # www.mydomain.eu - nginx - ip xxx.xxx.xxx.50 --> port 80/443
NEXTCLOUD # cloud.mydomain.eu - apache - ip xxx.xxx.xxx.51 -> port 81/1443
MAIL # mail.cloud.mydomain.eu - nginx/apache - ip xxx.xxx.xxx.52 -> port 82/2443
Configuración del servidor web Nginx:
ssl_certificate /etc/letsencrypt/live/mydomain.eu/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mydomain.eu/privkey.pem;
server {
listen 80;
listen [::]:80;
server_name *.mydomain.eu;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name *.mydomain.eu;
root /var/www/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
}
server {
listen 80;
listen [::]:80;
server_name cloud.mydomain.eu;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name cloud.mydomain.eu;
location / {
proxy_pass http://xxx.xxx.xxx.51:1443;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
}
¿Cuál es la mejor práctica para obtener certificados para cada servidor (o un certificado comodín)? Sería bueno activar cron para renovar certificados sin desplegar un txtregistro cada tres meses
Respuesta1
en caso de que todos los dominios estén en el mismo host, simplemente puede usar el mismo archivo en la otra configuración (ha mencionado que el certificado comodín está disponible)...
Depende de usted si desea (re)utilizar un comodín en más servicios o certificados adicionales por subdominio. De todos modos, en caso de que tenga un certificado comodín y esté previsto renovarlo automáticamente, necesitará de todos modos la verificación del token DNS (registro TXT) y una vez que el dominio se valide mediante DNS, ni siquiera necesitará ejecutar el servidor para obtener el certificado... Entonces en el caso del certificado "por dominio", puede utilizar la verificación DNS del dominio para que los puertos no estándar no sean un problema.
De todos modos, en el caso de un certificado comodín, ¿no es más fácil tenerlo todo en puertos estándar 80/443? Hoy en día no hay ningún problema con SNI (compartir los puertos y diferenciar según el contenido de la solicitud). En ese caso, puede tener un proxy inverso (por ejemplo, haproxy) que maneje el certificado comodín y pase el tráfico a los servidores (nginx, apache httpd,...)
--- editar - 19 de enero de 2020: 22:40 CET ---
En caso de que su proveedor de DNS no ofrezca una actualización de DNS "fácil", puede delegar el "subdominio" requerido a su sistema y ejecutar el servidor DNS local más o menos solo para el caso de estas actualizaciones dinámicas: registros TXT...
Supongamos dominioejemplo.comy su nodo local con fqdn actualizadoejemplo-local.com.noip.comapuntando a su sistema. En el sistema del registrador puedes hacer registros estáticos:
_acme-challenge.example.com. 3600 IN NS local-example.com.noip.com.
De esta manera, puede delegar fácilmente el token DNS, por ejemplo el dominio example.com, en su sistema local. Allí puede ejecutar el servidor DNS local (por ejemplo, vincular) con el dominio configurado_acme-challenge.ejemplo.comdonde luego podrá actualizar localmente el registro TXT. Tenga en cuenta que en este dominio no es válido el registro A ni AAAA, por lo que solo SOA, NS y actualizaciones dinámicas al menos para TXT ;-).