รับ Let's Encrypt SSL Certificate สำหรับ Internal Server บน Internal DNS Server

ขณะนี้ฉันบริหารองค์กรและเราใช้เว็บไซต์ภายในที่โฮสต์ภายในเครือข่ายของเราที่ดำเนินการ เซิร์ฟเวอร์ Gitea เพื่อให้เราสามารถเข้าถึงเอกสารสำคัญโดยไม่ต้องพึ่งบริการจากภายนอก

ฉันได้ตั้งค่าเซิร์ฟเวอร์ DNS แล้วโดยใช้ MaraDNS ที่กำหนดเส้นทางไปยังที่อยู่ IP ที่เหมาะสม เรายังเรียกใช้แอปพลิเคชันเพิ่มเติมบนเซิร์ฟเวอร์นี้ (เช่น REST API ภายใน) แต่ปัจจุบันใช้ใบรับรองที่ลงนามด้วยตนเอง ฉันไม่ชอบวิธีที่เบราว์เซอร์และไลบรารีบางตัวเช่น LibCURL จัดการกับใบรับรองประเภทนี้ เนื่องจากฉันเริ่มพบว่าการแก้ไขข้อผิดพลาดเหล่านี้เป็นเรื่องที่น่าเบื่อและยุ่งยาก

ฉันต้องการรับใบรับรองสำหรับเซิร์ฟเวอร์ของฉันโดยใช้ มาเข้ารหัสกันเถอะ บริการ; เนื่องจาก CA เป็นที่รู้จักในเบราว์เซอร์ อีกทั้งไม่ต้องเสียค่าธรรมเนียมทุกครั้งที่ต่ออายุใบรับรอง

ฉันจะไปเกี่ยวกับการได้รับสิ่งนี้ได้อย่างไร

Let's Encrypt มีไว้สำหรับบริการสาธารณะ และไม่รองรับชื่อภายในทั้งหมดที่ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตทั่วโลก

ข้อกำหนดแรกสำหรับการได้รับใบรับรอง LE คือชื่อโฮสต์ที่คุณต้องการให้มีใบรับรองหรือสามารถสร้างได้ใน DNS สากล

เมื่อพอใจแล้ว คุณมีสองตัวเลือกสำหรับ ความท้าทาย: HTTP-01 และ DNS-01

HTTP-01 ตรวจสอบการควบคุมชื่อโฮสต์ของคุณโดยเชื่อมต่อกับเซิร์ฟเวอร์ HTTP บนพอร์ต 80 ที่ชื่อนั้นโดยใช้ IPv6 หรือ IPv4 เห็นได้ชัดว่าชื่อต้องมีบันทึกที่อยู่ที่เหมาะสมใน DNS สากล

DNS-01 ช่วยให้คุณยืนยันชื่อโฮสต์โดยการตั้งค่าระเบียน TXT เฉพาะใน DNS ส่วนกลาง โดยทั่วไปจะเป็นไปโดยอัตโนมัติโดยใช้ API จากผู้ให้บริการ DNS ที่รองรับแต่ยังสามารถทำได้ด้วยตนเองหากระเบียน DNS ส่วนกลางของคุณไม่ได้โฮสต์โดยผู้ให้บริการที่สนับสนุน

อาจเป็นไปได้ที่คุณจะหลีกเลี่ยงข้อจำกัดเหล่านี้และจัดการเพื่อให้ได้ใบรับรอง แต่นั่นขึ้นอยู่กับรายละเอียดหลายอย่างเกี่ยวกับสภาพแวดล้อมของคุณซึ่งคุณไม่ได้ให้ไว้ คุณสามารถลองคิดดูและบางทีคุณอาจจะหาวิธีที่จะทำมันได้