Certificado solo LAN

Estimados, necesito tener certificado en mi servidor web que esta en mi LAN, el servidor tiene salida a internet por puerta de enlace, pero no tiene IP publica, yo en la configuración de mi DNS resuelvo el nombre que quiero para mi servidor web. el dominio es: munilaserena.cl, pero necesito el certificado para unos subdominios: a1.munilaserena.cl y a2.munilaserena.cl.
No se cual es el procedimiento mas adecuado para resolver esto, por lo que solicito vuestra ayuda.
Quedo atento a sus comentarios
Gracias de antemano

Puedo leer las respuestas en Inglés (sí o no): SI

Mi dominio es: Raul

Ejecuté este comando: no se cual comando ejecutar

Produjo esta salida: aun nada

Mi servidor web es (incluya la versión): apache 2.4

El sistema operativo en el que se ejecuta mi servidor web es (incluya la versión): almalinux 9

Mi proveedor de alojamiento web (si aplica) es: propio

Puedo iniciar una sesión en una shell root en mi servidor (sí, no o no lo sé): si puedo

Estoy usando un panel de control para administrar mi sitio (no o proporcione el nombre y la versión del panel de control): NO

La versión de mi cliente es (por ejemplo, si usa certbot, muestre la salida de certbot --version o certbot-auto --version): certbot 2.9.0

1 Like

Hola @raga,

Hablo Español (más o menos) y entiendo lo que estoy escribiendo aquí, pero voy a usar traducción automática abajo porque se ha vuelto tan confiable y útil.

En su tema escribió que solo necesita un certificado para su LAN. Pero luego mencionó un dominio y un subdominio en particular.

¿Puede crear registros DNS públicamente visibles para los subdominios? ¿O planea utilizar esos subdominios particulares dentro de una LAN y por eso no tiene intención de darles ninguna dirección IP pública?

1 Like

Hola
El dominio esta en la publica
Los subdominios solo seran para la LAN en un server sin IP publica

Bien, en este caso tiene dos opciones:

(1) Crear su propia autoridad de certificación interna para usar dentro de la LAN. Luego, cada dispositivo en la LAN debe agregar esta autoridad de certificación como autoridad confiable. (¡Esto podría ser más fácil de lo que parece!)

(2) Utilizar el desafío DNS. En este caso, debe crear registros DNS TXT para confirmar a la autoridad de Let's Encrypt que usted controla el nombre de dominio cuando solicita el certificado. Desafortunadamente, estos registros deben actualizarse para cada renovación de certificado (al menos cada 90 días), por lo que generalmente solo es una opción práctica si su proveedor de DNS tiene una API que permite realizar actualizaciones desde el software, o si puede delegar los registros necesarios, a través de un CNAME, a un proveedor diferente que lo permita.

1 Like

Muchas gracias
La opcion 2 me interesa
Tienes por casualidad el procedimiento paso a paso de como se debe realizar?

2 Likes

¿Su proveedor de DNS tiene una API para actualizaciones?

1 Like

el servidor DNS es mio, por lo que tengo full acceso a las actualizaciones, y en principio no me incomoda realizar los ajustes cada 90 dias aprox

Bien, puede comenzar con un proceso completamente manual con el que obtendrá los certificados que desea.

certbot certonly --manual --preferred-challenges dns -d a1.munilaserena.cl -d a2.munilaserena.cl

El Certbot le mostrará los registros DNS que tiene que crear, y luego puede confirmar cuando existen.

Entonces obtendrá archivos de certificado y clave en /etc/letsencrypt/live/a1.munilaserrena.cl que puede usar en su servidor Apache (configurandolos también manualmente). Otra opción si no quiere configurarlos manualmente sería

certbot -a manual -i apache --preferred-challenges dns -d a1.munilaserena.cl -d a2.munilaserena.cl

En estes escenarios, Certbot no puede renovar el certificado automáticamente. Deberá ejecutar el mismo comando nuevamente (al menos una vez cada 90 días) y luego el certificado y la clave se reemplazarán por otros nuevos.

(Con el desafio DNS, los servidores en sí no necesitan ser accesibles públicamente ni tener direcciones IP visibles públicamente, pero los registros TXT sí deben ser accesibles públicamente.)

1 Like

(Esto es para crear un solo certificado válido para ambos nombres.)

Lo hice y dio como resultado esto:

"Deploying certificate Successfully deployed certificate"

pero los equipos de la LAN al entrar por navegador dice:

"NET::ERR_CERT_AUTHORITY_INVALID"

¿Como configuró el certificado en su servidor Apache?

1 Like

ya lo corregí, era un problema de sintaxis
muchísimas gracias por tu apoyo
ya tengo operativo el certificado
saludos cordiales

2 Likes

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.