我的服务器环境:
我有一个网站呼叫abc.com。我已经创建子域名调用演示使用通过 cPanel 进行高级 DNS 区域编辑器它指向我的静态 IP 123.123.123.123
demo.abc.com => 123.123.123.123 (winbox installed)
然后我有另一个本地 tomcat 服务器,其地址为 192.168.1.123,并且我有一个端口转发设置123.123.123.123:80 into 192.168.1.123
现在,当我输入时,demo.abc.com它将执行我192.168.1.123托管的 tomcat 网站。
现在我需要安装SSL在https://demo.abc.com
我需要使用哪个服务器来创建 CSR 文件?
123.123.123.123 还是 192.168.1.123?
答案1
通常最好在实际使用证书的机器上生成 CSR - 无论如何,它是唯一持有证书密钥的机器,因此这样就不会增加证书泄露的风险。
在您的示例中,本地寻址服务器无论如何都会运行可公开访问的 Web 服务器,因此只需进行最少的更改,您就可以启用 TLS。
- 添加端口 443 的转发(类似于端口 80 的转发)
- 在本地地址的机器上生成证书请求
- 获取签名证书
demo将其添加到已为子域名提供服务的 Web 服务器
然而,无论如何,我强烈建议您阅读有关更常见设置的信息。
这样可以避免以这种通用方式穿透防火墙。通常,您不会进行端口转发,而是使用通用 Web 服务器进行代理 - 在这种情况下,证书将进入具有全局可路由地址的机器,而私有地址空间中的应用程序永远不会直接与客户端通信或处理公共证书。