Chứng chỉ cho một miền phụ trên máy chủ nhà của tôi

Tôi đã đọc nhiều bài viết về chứng chỉ trên tên miền phụ, nhưng tôi vẫn còn bối rối.

Hy vọng của tôi là ai đó có thể giải thích điều này cần được cấu hình như thế nào.

Tôi có một máy chủ sản xuất (máy ảo được lưu trữ) cho trang web của mình (ví dụ:. https://www.example.com, ip: 1.1.1.1). Tôi có một ứng dụng mà tôi lưu trữ trên một máy trong mạng gia đình của mình (ví dụ: ip 2.2.2.2).

Tôi muốn một tên miền phụ - dev.example.com - để trỏ đến 2.2.2.2 (Tôi đã định cấu hình bản ghi này với bản ghi DNS "A" trên 1.1.1.1 và điều này hoạt động đúng).

Tuy nhiên, tôi muốn sử dụng chứng chỉ (Hãy mã hóa) để có thể bảo mật các kết nối đến https://dev.example.com.

Đây là những gì tôi muốn biết:

1. Điều này có thể không?
2. Nếu vậy, chứng chỉ có nên được cài đặt trên 2.2.2.2? Chứng chỉ có cần phải được thiết lập theo một cách nhất định không?

Tôi đánh giá cao bất kỳ bài viết hoặc thông tin.

Câu hỏi thưởng: Độ phức tạp của thiết lập trong mạng gia đình của tôi có quan trọng không? Ví dụ: Tôi có một bộ định tuyến chỉ đạo cổng 80, 8080 và 443 đến một máy chủ web VM. Sau đó, máy chủ này sử dụng Proxy/Rev Proxy để chuyển hướng lưu lượng truy cập - dựa trên các thư mục (ví dụ: dev.example.com/ứng dụng34) đến máy chủ Ứng dụng cụ thể (192.168.0.34). Điều này có ảnh hưởng đến việc thiết lập chứng chỉ không?

Điều này có thể không?

Đúng. Chỉ cần yêu cầu chứng chỉ từ Let's Encrypt cho dev.example.com. Điều này có thể được xác minh bằng cách sử dụng ví dụ: Thử thách DNS hoặc một số loại khác. Điều quan trọng là bạn có thể đáp ứng thử thách thành công và bạn sẽ được trao chứng chỉ.

Nếu vậy, chứng chỉ có nên được cài đặt trên 2.2.2.2 không? Chứng chỉ có cần phải được thiết lập theo một cách nhất định không?

Có thể. Giải pháp thay thế sẽ là tất cả lưu lượng TLS bị chấm dứt trên một proxy ngược tại một số máy khác. Nhưng cách đơn giản nhất có lẽ là chấm dứt nó tại máy chạy phần mềm máy chủ thực tế.

Không có gì đặc biệt cho chứng chỉ. Có không sự khác biệt cố hữu giữa ví dụ.com và dev.example.com, hoặc www.example.com; Chúng chỉ là tên miền. Tên miền được ghi vào chứng chỉ.

IP là không phải viết thành giấy chứng nhận. Bạn có thể tự do thay đổi vị trí các điểm DNS và chứng chỉ sẽ tiếp tục hoạt động.

Câu hỏi bổ sung: Độ phức tạp của thiết lập trong mạng gia đình của tôi có quan trọng không? Ví dụ: Tôi có một bộ định tuyến hướng cổng 80, 8080 và 443 đến máy chủ web VM.Sau đó, máy chủ này sử dụng Proxy / Rev Proxy để chuyển hướng lưu lượng - dựa trên các thư mục (ví dụ: dev.example.com/app34) đến máy chủ Ứng dụng cụ thể (192.168.0.34). Điều này có ảnh hưởng đến việc thiết lập chứng chỉ không?

Bất kỳ dịch vụ nào muốn hiểu lưu lượng đều phải chấm dứt phiên TLS. Trong trường hợp của bạn, đây sẽ là proxy ngược. Nếu không, nó không thể quyết định nơi chuyển tiếp lưu lượng.