Я пытаюсь предоставить безопасные услуги в своей домашней интрасети. До сих пор я использовал самоподписанные сертификаты с выдуманным доменом example.foo
, с поддоменом для моих отдельных систем (например srv1.example.foo
). Эти домены определены на моем локальном DNS-сервере.
Теперь я купил домен example.com
, но не планирую предоставлять какие-либо публичные услуги. У меня также есть VPS со статическими IP-адресами, на которые можно указывать example.com
.
Я надеюсь создать wildcard letsencrypt сертификат для *.example.com
использования в моих интрасетевых системах. Чтобы отделить локальные системы от всего публичного, я бы определил поддомен на моем локальном DNS, который не должен разрешаться на публичных DNS-серверах (например, *.local.example.com
). Таким образом, локальные интрасетевые системы будут использовать имена вроде srv1.local.example.com
.
Осуществима ли такая установка?
Могу ли я создать такой сертификат на моем VPS для *.example.com
и защитить интрасетевые сервисы с помощью сгенерированного сертификата. Пусть мой локальный DNS-сервер разрешает домены как srv1.local.example.com
частные IP-адреса и не выставляет какие-либо частные IP-адреса или домены публично?
решение1
Могу ли я создать такой сертификат на моем VPS для *.example.com и защитить интрасетевые сервисы с помощью сгенерированного сертификата?
Да, но это странный способ. Он не упрощает автоматизацию.
Я бы запустил certbot (или любой другой инструмент, который вы используете) надействительныйсистема, которой нужен сертификат, или какой-либо сервер внутри вашей сети, где система, которой он нужен, может его получить.
Использоватьпроверка подлинности DNS-запросадля проверки контроля над доменом. Для этого требуется внешний поставщик DNS с API, например Route53, Cloudflare, Azure или множество других.
Вам не нужны никакие публичные записи DNS, за исключением записей txt, используемых для проверки права собственности.
решение2
Вы не можете создать wildcard сертификат для *.example.com
и использовать его для s1.sd.example.com
. Вот как работают сертификаты. Если вы хотите создать wildcard сертификат для , s1.sd.example.com
он должен быть для*.sd.example.com