Нужно ли покупать домен, чтобы запускать Let's Encrypt DNS Challenge в интрасети?

Question

Нужно ли покупать домен, чтобы запускать Let's Encrypt DNS Challenge в интрасети?

Этот вопрос может показаться наивным многим из вас, но я скорее разработчик, чем системный администратор, поэтому было бы крайне полезно получить несколько советов, прежде чем копаться в них.

Допустим, мне принадлежит foobar.com домен для моих общедоступных сайтов и также необходимо сгенерировать сертификат Let's Encrypt для моих внутренних серверов:

Могу ли я использовать foobar.com домен (например myInternalServer1.foobar.com)?
В противном случае, это должен быть настоящий домен второго уровня, как baz.com, или я могу использовать поддомен моего фактического домена, как intranet.foobar.com (например. myInternalServer1.intranet.foobar.com)?
Если я не ошибаюсь, я должен как-то проинструктировать мой основной DNS-сервер для обработки foobar.com и настроить другой DNS-сервер для обработки intranet.foobar.com это правильно?
Пока я владелец foobar.com в настоящее время используется только для публичных сайтов; вся "интранет" работает под foobar.local, Я читал это, так как пару лет этот путь устарел. Должен ли я изменить foobar.local с intranet.foobar.com в главном DNS-сервере, чтобы заставить вещь Шифрования работать, или это только предложение? Все основано на этом (Active Directory и т. Д.), Поэтому я думаю, что это не простая миграция, верно?

заранее спасибо

1

subdomain internal-dns lets-encrypt dns-zone certbot

Источник

Andrea Ligios 07 мар '19 в 13:34

2 ответа

Другие вопросы по тегам subdomain internal-dns lets-encrypt dns-zone certbot

Mikael H 07 мар '19 в 14:40 2019-03-07 14:40 · Answer 1 · 2019-03-07 14:40

Let's Encrypt в значительной степени требует, чтобы сертифицируемое имя было доступно через публичный IP-адрес. Пока IPv6 не станет более распространенным, это, скорее всего, не будет иметь место для подавляющего большинства ваших серверов. Даже если бы это было так, вы, вероятно, не захотели бы сделать веб-сервисы доступными в Интернете без проверки большинства из них.

Вообще говоря, для решения вашей проблемы вместо этого вы должны создать частный центр сертификации (CA) для своей внутренней сети. Пока ваши клиенты доверяют этим полномочиям (установив соответствующие сертификаты ЦС через политики или профили управления), все в порядке.

Для вашего другого вопроса:
Переход с домена AD.local, например, на поддомен вашего пространства имен в Интернете, - это мероприятие, которое потребует тщательного планирования. Скорее всего, вы создадите совершенно новый домен AD с доверительными отношениями со старым и постепенно перенесете функции в него.

Håkan Lindqvist 07 мар '19 в 18:41 2019-03-07 18:41 · Answer 2 · 2019-03-07 18:41

Прежде всего, может быть, вам вообще не нужны сертификаты от публичного центра сертификации? Если вы контролируете клиентов, может иметь смысл иметь внутренний центр сертификации, и в этом случае только ваш последний вопрос (4) остается (частично) актуальным.

Тем не менее, с чисто технической точки зрения "это можно сделать с помощью Lets Encrypt":

Да, это было бы возможно. Тем не менее, это соглашение об именах смешивает внутренние и публичные хосты таким образом, что, вероятно, будет проблематичным для обработки (в общем, ничего общего с сертификатами). В любом случае, если вы используете вызов DNS-01, вы можете (но, возможно, не должны) получать сертификаты, подписанные для любых имен хостов в доменах, которые вы контролируете, с именами хостов или без них в общедоступных DNS или общедоступных хостах.
Эти параметры, по сути, совпадают с 1 с технической точки зрения, ориентированной на LE.
Все опции в 1 и 2 технически возможны, но эти два варианта в 2 кажутся мне более разумными, поскольку внутренние имена не конфликтуют с вашими публичными DNS-именами.
Этот сервер имен для обработки ваших внутренних DNS-зон может не понадобиться с точки зрения LE. Однако, если вы действительно хотите разрешить эти имена во внутренних сетях, это, вероятно, необходимо для этого.
local ДВУ фактически не предполагается использовать в обычном DNS вообще; это имя специально зарезервировано для использования с mDNS (многоадресный DNS, как в ZeroConf/Bonjour/...).
Если вы хотите, чтобы общедоступный ЦС (LE или любой другой ЦС) подписывал сертификаты для ваших внутренних имен (это, очевидно, не то, чего вы хотели бы, но это, как представляется, предпосылка для этого вопроса), то это еще одна причина, по которой вам придется перейти на использование вашего собственного пространства имен. Я ожидаю, что исправить это после факта, безусловно, нетривиально.