作者 主題: 內網的系統的https,若不想要都透過Let's encrypt去申請密鑰,由推薦做法嗎?  (閱讀 261 次)

0 會員 與 1 訪客 正在閱讀本文。

stuart3501

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
各位大大好
小弟現在在管的server中有需要https才能進入的管理介面,也有如HARBOR這樣只走https的
因這些都不需要出外網
網域都是由內部的BIND9控制,帳號密碼都是由OpenLDAP控制
每個網域都要去外部註冊一筆A record
再到Let's encrypt去申請密鑰才不會被瀏覽器等等判定為insecure
請問是否有軟體可以在內網架設,管理這些key呢?

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5405
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
let's encrypt 現在已支援 * 的網址, 所以只要申請一個一起用就可以 (當然內外部都要掛在某個網域之下).

DNS 是自己管的嗎? 如果不是自己管, 可以利用 script 就變動 DNS 的內容嗎?
如果可以的話, 改用 DNS 的方式驗證就可以更新 let's encrypt 的憑證. 拿到憑證就可以給所有的機器一起用了.

在 dehydrated (letsencrypt.sh) 是使用 HOOK 去指定更新 dns 的 script, 裡面用 nsupdate (如果是用 bind) 在該 domain 加上一筆 _acme-challenge 的 TXT 給 let's encrypt 驗證就可以 (在這個 script 要確定所有的 NS 都更新再返回).
« 上次編輯: 2020-11-19 08:37 由 twu2 »