我已经阅读了很多关于子域名证书的文章,但我仍然感到困惑。
我希望有人可以解释一下如何配置。
我有一个用于我的网站的生产服务器(托管虚拟机)(例如。https://www.example.com,IP:1.1.1.1)。我有一个应用程序托管在我家网络上的一台机器上(例如 ip2.2.2.2)。
我想要一个子域名 - dev.example.com - 指向2.2.2.2(我使用“A”DNS记录配置了它1.1.1.1并且正常工作)。
不过,我想使用证书(让我们加密)能够保护传入连接https://dev.example.com。
我想知道的是:
- 这可能吗?
- 如果是,证书应该安装在2.2.2.2? 证书是否需要以某种方式设置?
我感谢任何文章或信息。
附加问题:我家网络设置的复杂性是否重要?例如:我有一个路由器,可以引导端口80、8080 和 443到 VM Web 服务器。然后,此服务器使用代理/Rev 代理重定向流量 - 基于文件夹(例如 dev.example.com/应用程序34)到特定的应用程序服务器(192.168.0.三十四)。这些会影响证书设置吗?
答案1
这可能吗?
是的。只需向 Let's Encrypt 申请 dev.example.com 的证书即可。可以使用以下方法进行验证DNS 挑战,或者其他类型的挑战。重要的是你能成功应对挑战,然后你就会得到一张证书。
如果是,证书是否应该安装在 2.2.2.2 上?证书是否需要以某种方式设置?
可能。另一种方法是将所有 TLS 流量终止于其他机器上的反向代理。但最直接的方法可能是在运行实际服务器软件的机器上终止它。
该证书没有什么特别之处。不example.com和dev.example.com、 或 的本质区别www.example.com;它们只是域名。域名写入证书中。
IP 是不是写入证书。您可以自由更改 DNS 指向的位置,证书将继续有效。
附加问题:我的家庭网络设置的复杂性是否重要?例如:我有一个路由器,它将端口 80、8080 和 443 定向到 VM Web 服务器。然后,此服务器使用代理/Rev 代理将流量(基于文件夹(例如 dev.example.com/app34))重定向到特定的应用程序服务器(192.168.0.34)。这些会影响证书设置吗?
无论什么服务需要理解流量,都必须终止 TLS 会话。在您的情况下,这将是反向代理。否则它无法决定将流量转发到何处。