บรรจวบ เข้าสู่ระบบ
Score:-1
avatar Server

ใบรับรองไปยังโดเมนย่อยบนเซิร์ฟเวอร์ที่บ้านของฉัน

ธง pe
NEW2WEB

ฉันได้อ่านบทความมากมายเกี่ยวกับใบรับรองในโดเมนย่อยแล้ว แต่ฉันก็ยังสับสนอยู่

ความหวังของฉันคือใครบางคนสามารถอธิบายได้ว่าต้องกำหนดค่านี้อย่างไร

ฉันมีเซิร์ฟเวอร์ที่ใช้งานจริง (โฮสต์ VM) สำหรับไซต์ของฉัน (เช่น https://www.example.com, ไอพี: 1.1.1.1). ฉันมีแอปพลิเคชันที่ฉันโฮสต์บนเครื่องบนเครือข่ายในบ้านของฉัน (เช่น ip 2.2.2.2).

ฉันต้องการโดเมนย่อย - dev.example.com - ชี้ไปที่ 2.2.2.2 (ฉันกำหนดค่านี้โดยเปิดระเบียน DNS "A" 1.1.1.1 และทำงานได้อย่างถูกต้อง)

อย่างไรก็ตามฉันต้องการใช้ใบรับรอง (มาเข้ารหัสกันเถอะ) เพื่อให้สามารถรักษาความปลอดภัยการเชื่อมต่อขาเข้าได้ https://dev.example.com.

นี่คือสิ่งที่ฉันอยากรู้:

  1. เป็นไปได้ไหม
  2. ถ้าเป็นเช่นนั้น ควรติดตั้งใบรับรองบน 2.2.2.2? จำเป็นต้องตั้งค่าใบรับรองด้วยวิธีใดวิธีหนึ่งหรือไม่

ฉันขอขอบคุณบทความหรือข้อมูลใด ๆ

คำถามโบนัส: ความซับซ้อนของการตั้งค่าในเครือข่ายในบ้านมีความสำคัญหรือไม่ ตัวอย่างเช่น: ฉันมีเราเตอร์ที่ควบคุมพอร์ต 80, 8080 และ 443 ไปยังเว็บเซิร์ฟเวอร์ VM เซิร์ฟเวอร์นี้ใช้ Proxy / Rev Proxy เพื่อเปลี่ยนเส้นทางทราฟฟิก - ตามโฟลเดอร์ (เช่น dev.example.com/แอป34) ไปยังแอ็พพลิเคชันเซิร์ฟเวอร์เฉพาะ (192.168.0.34). สิ่งนี้จะส่งผลต่อการตั้งค่าใบรับรองหรือไม่

111
0 + 0
Paul avatar
cn flag
Paul
ใบรับรองที่ลงนามโดย CA อาจไม่ใช่โซลูชันที่คุณกำลังมองหา จะเกิดอะไรขึ้นเมื่อ ISP ของคุณตัดสินใจว่าคุณควรมีที่อยู่ IP อื่นในตอนนี้ ดูเหมือนว่า dev.example.com ไม่ใช่สิ่งที่คุณให้บริการแก่บุคคลทั่วไป ดังนั้นคุณจึงสามารถบรรลุเป้าหมายของการเข้ารหัสและการตรวจสอบสิทธิ์ได้โดยใช้ใบรับรองไคลเอ็นต์ TLS และที่อยู่ IP นั้นไม่สำคัญและไม่จำเป็นต้องมี CA ที่ลงชื่อ .
0
ตอบกลับ
pe flag
NEW2WEB
ขอบคุณ @พอล ! ฉันจะตรวจสอบใบรับรองไคลเอ็นต์ TLS
0
ตอบกลับ
Score:2
vidarlo avatar Server
ธง ar
vidarlo

เป็นไปได้ไหม

ใช่. เพียงขอใบรับรองจาก Let's Encrypt สำหรับ dev.example.com สามารถตรวจสอบได้โดยใช้เช่น การท้าทาย DNS หรือประเภทอื่นๆ. สิ่งสำคัญคือคุณสามารถตอบสนองต่อความท้าทายได้สำเร็จ และคุณจะได้รับใบรับรอง

ถ้าเป็นเช่นนั้น ควรติดตั้งใบรับรองบน ​​2.2.2.2 หรือไม่ จำเป็นต้องตั้งค่าใบรับรองด้วยวิธีใดวิธีหนึ่งหรือไม่

อาจจะ. ทางเลือกอื่นคือการยุติการรับส่งข้อมูล TLS ทั้งหมดบนพร็อกซีย้อนกลับที่เครื่องอื่น แต่วิธีที่ตรงไปตรงมาที่สุดน่าจะเป็นการยกเลิกที่เครื่องที่เรียกใช้ซอฟต์แวร์เซิร์ฟเวอร์จริง

ไม่มีอะไรพิเศษสำหรับใบรับรอง มี ไม่ ความแตกต่างโดยเนื้อแท้ระหว่าง ตัวอย่าง.คอม และ dev.example.com, หรือ www.example.com; พวกเขาเป็นเพียงชื่อโดเมน ชื่อโดเมนถูกเขียนลงในใบรับรอง

IP คือ ไม่ เขียนลงในใบรับรอง คุณสามารถเปลี่ยนจุด DNS ได้อย่างอิสระ และใบรับรองจะทำงานต่อไป

คำถามโบนัส: ความซับซ้อนของการตั้งค่าในเครือข่ายในบ้านของฉันมีความสำคัญหรือไม่ ตัวอย่างเช่น ฉันมีเราเตอร์ที่ส่งพอร์ต 80, 8080 และ 443 ไปยังเว็บเซิร์ฟเวอร์ VMจากนั้นเซิร์ฟเวอร์นี้ใช้ Proxy / Rev Proxy เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล - ตามโฟลเดอร์ (เช่น dev.example.com/app34) ไปยังเซิร์ฟเวอร์แอปพลิเคชันเฉพาะ (192.168.0.34) สิ่งนี้จะส่งผลต่อการตั้งค่าใบรับรองหรือไม่

บริการใดก็ตามที่คาดว่าจะเข้าใจการรับส่งข้อมูลจะต้องยุติเซสชัน TLS ในกรณีของคุณจะเป็น reverse proxy มิฉะนั้นจะไม่สามารถตัดสินใจได้ว่าจะส่งต่อทราฟฟิกไปที่ใด

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา