@rf

Что вы делаете с https сертификатами селфхостед сервисов? Объясню ситуацию:

У меня есть ряд веб-сервисов, которые я поднял на своей машине и пожелал бы не светить внешнему миру. Как следствие, у меня есть впн, через которых я могу до них достучаться. И если прописать в hosts файл локальный адрес вместо публичного, то всё окей, но проблема в том, что на локальный адрес не получить letsencrypt или zerossl сертификат. Да, я знаю про самоподписанные сертификаты, но закидывать их на каждую свою новую машину немного проблемно, а без https браузеры и приложения ругаются и мешают жить. Что-то мне говорит, что должно быть более элегантное решение проблемы, так что если кто сталкивался — я вас слушаю.

@rf @kantor Впрочем, есть ещё костыльные варианты, если хочется странного.

1. Регаешь домен в интернете. Ставишь там веб-сервер и выписываешь серт на него.

2. Копируешь серт на внутренние сервисы.

3. В настройках VPN обеспечиваешь разрешение этих адресов на внутренние.

Такой подход часто используется в организациях.

@shuro @rf последний пункт подразумевает под собой DNS?

@rf @kantor Да как удобно. Можно в хосты прописать, можно использовать свой DNS и на нем прописать статику (свой DNS неплохая идея, если используется VPN).

В организациях обычно свой DNS и там прописаны внутренние зоны.
Подписаться

@shuro @rf @kantor
Можно воспользоваться утилитой step-ca. С её помощью можно поднять CA сервер и раздавать сертификаты по ACME протоколу.

Войдите, чтобы принять участие в дискуссии
Elven Perfect World

Персональный микроблог социальной сети Mastodon.