В настоящее время я руковожу организацией, и мы используем внутренний веб-сайт, размещенный в нашей сети, который работаетGitea-сервертак что мы можем получить доступ к важным документам, не полагаясь на сторонний сервис.
Я уже настроил DNS-сервер с помощьюМараDNSкоторый направляет на правильный IP-адрес. Мы также запускаем дополнительные приложения на этом сервере (например, внутренний REST API), но в настоящее время полагаемся на самоподписанные сертификаты. Мне не нравится, как некоторые браузеры и библиотеки, такие какLibCURLобрабатывает эти типы сертификатов, так как я начинаю находить исправление этих ошибок утомительным и полным мучением.
Я хотел бы получить сертификат для своего сервера с помощьюДавайте зашифруемобслуживание; поскольку CA хорошо распознается в браузерах, а также не нужно платить сбор каждый раз, когда я обновляю сертификат.
Как мне получить это?
решение1
Let's Encrypt предназначен для общедоступных сервисов и не поддерживает полностью внутренние имена, недоступные из глобального Интернета.
Первым требованием для получения сертификата LE является то, что имя(я) хоста(ов), для которых вам нужен сертификат, должны существовать или иметь возможность быть созданными в глобальном DNS.
Как только это будет выполнено, у вас будет два вариантапроблемы: HTTP-01 и DNS-01.
HTTP-01 проверяет ваш контроль над именем хоста, подключаясь к HTTP-серверу на порту 80 по этому имени с использованием IPv6 или IPv4. Очевидно, что имя должно иметь соответствующую запись адреса в глобальном DNS.
DNS-01 позволяет вам проверить имя хоста, установив определенную запись TXT в глобальном DNS. Обычно это автоматизировано с помощьюAPI от поддерживаемого DNS-провайдера, но это также можно сделать вручную, если ваши глобальные записи DNS не размещены поддерживаемым провайдером.
Возможно, вам удастся обойти эти ограничения и получить сертификат, но это зависит от многих деталей вашей среды, которые вы не предоставили. Вы можете подумать об этом и, возможно, вы найдете способ сделать это.