Lassen Sie uns für einen lokalen Server mit einer öffentlich erreichbaren Domäne verschlüsseln

374
user5542121

Ziel ist es, einen lokalen Server mit einem gültigen Let's Encrypt-Zertifikat zu haben.

Ich möchte, dass die IP 10.10.10.5 über mydomain.com erreicht wird. Ich habe also einen lokalen DNS-Server, der diese IP zurückgibt. Für die Öffentlichkeit mydomain.com löst die richtige IP-Adresse auf einen Router auf, und der Router führt dann eine Port-Weiterleitung an die lokale IP-Adresse 10.10.10.5 durch.

Funktioniert es? Ich bin mir nicht sicher, ob das Zertifikat an den Domainnamen gebunden ist. aber der Browser blockiert es möglicherweise trotzdem - da Let's Encrypt keine Zertifikate für lokale Netzwerke ausstellt?

0
Ich benutze die Option certonly für LE - ich verwirre meine eigenen Konfigurationsdateien, danke. Aber ja, ich arbeite hier an zwei Rechnern, die sich in einem privaten Netzwerk befinden und nur als solche konfiguriert sind, aber außerhalb von DNS auf eine routbare IP-Adresse verweist, die dann an das interne Netzwerk weitergeleitet wird und die Maschine erreicht. Keine Probleme mit der Erlangung eines LE-Zertifikats. ivanivan vor 6 Jahren 1

1 Antwort auf die Frage

1
grawity

Let's Encrypt gibt keine Zertifikate für lokale Netzwerke aus

Wie Sie richtig bemerkt haben, ist das Zertifikat an den Domänennamen und nur an den Domänennamen gebunden . Es hat keine Aufzeichnung der IP-Adresse. Wenn Sie also den Domänennamen besuchen, haben Browser keinen Grund, sich um die Art der IP-Adresse zu kümmern. (Außerdem haben Sie erwähnt, dass die Domain sowieso in eine öffentliche Adresse aufgelöst wird.)

Die Kehrseite ist, dass Sie nicht können direkt besuchen https://10.10.10.5, das wird in einer Nichtübereinstimmung führen.

(Das heißt, wenn das Zertifikat speziell für eine IP-Adresse ausgestellt wurde - was LE nicht anbietet, aber einige andere CAs -, dann müsste es ja eine öffentliche Adresse sein. Aber das ist hier nicht der Fall.)

Daher besteht Ihre einzige Anforderung im Moment darin, einen der von LE unterstützten Validierungsmechanismen bestehen zu können.

  • Wenn, wie Sie sagen, die Domäne in eine öffentliche Adresse aufgelöst wird und schließlich zu einem öffentlich zugänglichen Webserver führt, funktioniert die HTTP-Validierung einwandfrei. (LE kümmert sich nicht, was hinter den Kulissen passiert, solange die Validierungsserver abrufen können. http://<yourdomain>/.well-known/etcetera)

  • Selbst wenn der Webserver nicht öffentlich zugänglich ist (oder wenn überhaupt kein Webserver vorhanden ist), unterstützt LE auch die DNS-basierte Validierung, bei der lediglich zusätzliche DNS-Einträge zu Ihrer öffentlichen Domäne hinzugefügt werden müssen.

Ein Hinweis zur Portweiterleitung: Wenn Ihre Domäne in Ihre öffentliche IP-Adresse aufgelöst wird, müssen Sie im LAN darauf zugreifen, wenn "NAT Reflection / Hairpinning / Loopback" in Ihrem Router aktiviert ist. Andernfalls ist die Domäne vom LAN aus überhaupt nicht erreichbar.

Verwandte Probleme