Назад | Перейти на главную страницу

Обязательно ли покупать домен для запуска Let's Encrypt DNS Challenge в интрасети?

Этот вопрос (вопросы) может показаться наивным для многих из вас, но я больше разработчик, чем системный администратор, поэтому было бы чрезвычайно полезно получить несколько советов, прежде чем копаться.

Скажем, я владею foobar.com домен для моих общедоступных сайтов и мне нужно создать сертификат Let's Encrypt для моих внутренних серверов тоже:

  1. Могу ли я использовать foobar.com домен (например, myInternalServer1.foobar.com)?

  2. В противном случае должен ли это быть реальный домен второго уровня, например baz.com, или могу ли я использовать поддомен моего фактического домена, например intranet.foobar.com (например. myInternalServer1.intranet.foobar.com)?

  3. Если я не ошибаюсь, я должен как-то проинструктировать свой основной DNS-сервер обрабатывать foobar.com, и настроить другой DNS-сервер для обработки intranet.foobar.comэто правильно?

  4. Пока я владелец foobar.com, который в настоящее время используется только для общедоступных сайтов; вся «интрасеть» работает под foobar.local. Я читал, что через пару лет такой способ устарел. Я должен изменить foobar.local с участием intranet.foobar.com в главном DNS-сервере, чтобы заставить работать Let's Encrypt, или это всего лишь предложение? Все основано на этом (Active Directory и т. Д.), Поэтому я думаю, это непростая миграция, верно?

заранее спасибо

Прежде всего, может быть, вам вообще не нужны сертификаты из общедоступного центра сертификации? Если вы контролируете клиентов, имеет смысл иметь внутренний CA, и в этом случае только ваш последний вопрос (4) остается (частично) актуальным.

Тем не менее, с чисто технической точки зрения «можно ли это сделать с помощью Lets Encrypt»:

  1. Да, это возможно. Однако это соглашение об именах смешивает внутренние и общедоступные узлы таким образом, что, вероятно, будет проблематично обрабатывать их (в общем, это не имеет отношения к сертификатам). В любом случае, если вы используете задачу DNS-01, вы можете (но, возможно, вам не следует) получать сертификаты, подписанные для любых имен хостов в доменах, которые вы контролируете, с именами хостов или без них в общедоступных DNS или общедоступных хостах.
  2. Эти параметры по сути такие же, как 1, с технической точки зрения, ориентированной на LE.
    Все варианты 1 и 2 технически возможны, но два варианта 2 кажутся мне гораздо более разумными, поскольку внутренние имена не конфликтуют с вашими общедоступными именами DNS.
  3. Этот сервер имен для обработки ваших внутренних зон DNS может не понадобиться с точки зрения LE. Однако, если вы действительно хотите иметь возможность разрешать эти имена во внутренних сетях, это, вероятно, необходимо.
  4. В local На самом деле TLD вообще не предполагается использовать в обычном DNS; это имя специально зарезервировано для использования с mDNS (многоадресный DNS, как в ZeroConf / Bonjour / ...).
    Если вы хотите, чтобы общедоступный ЦС (LE или любой другой ЦС) подписывал сертификаты для ваших внутренних имен (не очевидно, что вы хотели бы, но, похоже, это предпосылка этого вопроса), то это еще одна причина, по которой вам придется перейти на использование собственного пространства имен. Я полагаю, что исправить это постфактум явно нетривиально.

Let's Encrypt в значительной степени требует, чтобы имя, которое вы удостоверяете, было доступно через общедоступный IP-адрес. Пока IPv6 не станет более распространенным, это, скорее всего, не будет иметь место для подавляющего большинства ваших серверов. Даже если бы это было так, вы, вероятно, не захотели бы сделать веб-сервисы доступными в Интернете без тщательного изучения большинства из них.

Вообще говоря, чтобы решить вашу проблему, вы должны вместо этого создать частный центр сертификации (CA) для своей внутренней сети. Пока ваши клиенты доверяют этому органу (установив соответствующие сертификаты CA с помощью политик или профилей управления), все в порядке.

По вашему другому вопросу:
Переход с домена .local AD, например, на поддомен вашего пространства имен в Интернете - это мероприятие, требующее тщательного планирования. Скорее всего, вы создадите совершенно новый домен AD с доверительными отношениями со старым и постепенно перенесете в него функции.