我正在使用 Nginx 設定我的個人 VPS,並且我正在閱讀有關如何保護該服務的資訊。但關於憑證和管理 HTTPS,我有點不清楚:
如果我從某些第 3 方提供者購買網域名稱 (www.example.com),然後將該網域配置為指向由無關方提供的我的 VPS 的 IP,那麼誰來管理憑證?
我應該在 VPS 和 Nginx 配置上進行所有處理(憑證、TLS 配置、https 監聽等),還是所有這些都由網域供應商管理?或者有些事情是由網域提供者處理的,有些是在我的 Nginx 配置上處理的?
答案1
您將執行您所詢問的處理。
這是完整圖片的概述。
您向憑證授權單位(您稱之為 DNS 提供者)提供他們的任何要求。這可以包括付款和身份識別。
他們為您提供一個證書,表明他們是頒發機構。
然後,您將 Web 伺服器設定為使用該憑證。
當有人使用 HTTPS 存取您的頁面時,「HTTPS」中的「S」代表「安全性」。在前幾年,將 S 視為 SSL 的代表是相當安全的,因為 HTTPS 的實作方式是使用 HTTP over SSL。如今,TLS 是一種現代實現,通常用來取代舊的 SSL 版本。
當 Web 用戶端(通常稱為「Web 瀏覽器」)使用 TLS(或 SSL)時,它會從 Web 伺服器取得憑證。 (這將是自動產生的證書,在某些方面與您從證書頒發機構獲得的證書不同。)然後 Web 用戶端檢查該證書是否可信任。 Web 瀏覽器收到的憑證將包含您的憑證和憑證授權單位的痕跡。 Web 瀏覽器可以看出該憑證是在該憑證授權單位的許可下製作的。
Web 用戶端會檢視自己的“憑證儲存”,該「憑證儲存」通常僅隨 Web 瀏覽器和/或作業系統一起提供。由於您透過商業方式購買的憑證可能指向被認可且廣泛信任的憑證授權機構,因此 Web 用戶端會認為 Web 伺服器是可信任的。
確保當您獲得付費證書後,不會交給其他任何人。 (通常我會說,除了您必須信任的人之外,不要與任何人共享它,例如運行您正在使用的Web 伺服器的公司。但由於您正在運行自己的Web 伺服器,因此該例外可能不適用。儘管,如果您的「虛擬專用伺服器」(「VPS」)未加密,那麼您的 VPS 主機可能可以存取資料。換句話說,這樣的小偷可以有效地竊取你的身分。因此,請勿公開發布您付費購買的證書。
您可以與 DNS 提供者一起做的一件事是設定 DNS 資源記錄。在許多情況下,您可以使用它們來設定 AAAA 和/或 A 記錄。就我個人而言,我傾向於只向 DNS 提供者設定 NS 記錄,並自行託管 AAAA 和/或 A 記錄。您的 DNS 提供者不必與為您提供證書的組織是同一組織。 (如果使用「Let's Encrypt」作為您的憑證授權機構,我希望它們是不同的組織。)
答案2
如果我從某些第 3 方提供者購買網域名稱 (www.example.com),然後將該網域配置為指向由無關方提供的我的 VPS 的 IP,那麼誰來管理憑證?
管理 VPS 的人將對其進行管理。從技術上講,網域註冊商(網域供應商)僅處理與您的 VPS 關聯的 IP 位址和網域條目。
我應該在 VPS 和 Nginx 配置上進行所有處理(憑證、TLS 配置、https 監聽等),還是所有這些都由網域供應商管理?或者有些事情是由網域提供者處理的,有些是在我的 Nginx 配置上處理的?
憑證、TLS、https 等都是您可以使用 Nginx 等在伺服器上配置的內容。