Выпуск действительных сертификатов HTTPS для поддоменов интрасети с помощью letsencrypt

tag-icon tag-icon domain-name-system ssl-certificate https internal-dns lets-encrypt
Выпуск действительных сертификатов HTTPS для поддоменов интрасети с помощью letsencrypt

Я пытаюсь предоставить безопасные услуги в своей домашней интрасети. До сих пор я использовал самоподписанные сертификаты с выдуманным доменом example.foo, с поддоменом для моих отдельных систем (например srv1.example.foo). Эти домены определены на моем локальном DNS-сервере.

Теперь я купил домен example.com, но не планирую предоставлять какие-либо публичные услуги. У меня также есть VPS со статическими IP-адресами, на которые можно указывать example.com.

Я надеюсь создать wildcard letsencrypt сертификат для *.example.comиспользования в моих интрасетевых системах. Чтобы отделить локальные системы от всего публичного, я бы определил поддомен на моем локальном DNS, который не должен разрешаться на публичных DNS-серверах (например, *.local.example.com). Таким образом, локальные интрасетевые системы будут использовать имена вроде srv1.local.example.com.

Осуществима ли такая установка?

Могу ли я создать такой сертификат на моем VPS для *.example.comи защитить интрасетевые сервисы с помощью сгенерированного сертификата. Пусть мой локальный DNS-сервер разрешает домены как srv1.local.example.comчастные IP-адреса и не выставляет какие-либо частные IP-адреса или домены публично?

решение1

Могу ли я создать такой сертификат на моем VPS для *.example.com и защитить интрасетевые сервисы с помощью сгенерированного сертификата?

Да, но это странный способ. Он не упрощает автоматизацию.

Я бы запустил certbot (или любой другой инструмент, который вы используете) надействительныйсистема, которой нужен сертификат, или какой-либо сервер внутри вашей сети, где система, которой он нужен, может его получить.

Использоватьпроверка подлинности DNS-запросадля проверки контроля над доменом. Для этого требуется внешний поставщик DNS с API, например Route53, Cloudflare, Azure или множество других.

Вам не нужны никакие публичные записи DNS, за исключением записей txt, используемых для проверки права собственности.

решение2

Вы не можете создать wildcard сертификат для *.example.comи использовать его для s1.sd.example.com. Вот как работают сертификаты. Если вы хотите создать wildcard сертификат для , s1.sd.example.comон должен быть для*.sd.example.com

Связанный контент