Estimados, necesito tener certificado en mi servidor web que esta en mi LAN, el servidor tiene salida a internet por puerta de enlace, pero no tiene IP publica, yo en la configuración de mi DNS resuelvo el nombre que quiero para mi servidor web. el dominio es: munilaserena.cl, pero necesito el certificado para unos subdominios: a1.munilaserena.cl y a2.munilaserena.cl.
No se cual es el procedimiento mas adecuado para resolver esto, por lo que solicito vuestra ayuda.
Quedo atento a sus comentarios
Gracias de antemano
Puedo leer las respuestas en Inglés (sí o no): SI
Mi dominio es: Raul
Ejecuté este comando: no se cual comando ejecutar
Produjo esta salida: aun nada
Mi servidor web es (incluya la versión): apache 2.4
El sistema operativo en el que se ejecuta mi servidor web es (incluya la versión): almalinux 9
Mi proveedor de alojamiento web (si aplica) es: propio
Puedo iniciar una sesión en una shell root en mi servidor (sí, no o no lo sé): si puedo
Estoy usando un panel de control para administrar mi sitio (no o proporcione el nombre y la versión del panel de control): NO
La versión de mi cliente es (por ejemplo, si usa certbot, muestre la salida de certbot --version o certbot-auto --version): certbot 2.9.0
Hablo Español (más o menos) y entiendo lo que estoy escribiendo aquí, pero voy a usar traducción automática abajo porque se ha vuelto tan confiable y útil.
En su tema escribió que solo necesita un certificado para su LAN. Pero luego mencionó un dominio y un subdominio en particular.
¿Puede crear registros DNS públicamente visibles para los subdominios? ¿O planea utilizar esos subdominios particulares dentro de una LAN y por eso no tiene intención de darles ninguna dirección IP pública?
(1) Crear su propia autoridad de certificación interna para usar dentro de la LAN. Luego, cada dispositivo en la LAN debe agregar esta autoridad de certificación como autoridad confiable. (¡Esto podría ser más fácil de lo que parece!)
(2) Utilizar el desafío DNS. En este caso, debe crear registros DNS TXT para confirmar a la autoridad de Let's Encrypt que usted controla el nombre de dominio cuando solicita el certificado. Desafortunadamente, estos registros deben actualizarse para cada renovación de certificado (al menos cada 90 días), por lo que generalmente solo es una opción práctica si su proveedor de DNS tiene una API que permite realizar actualizaciones desde el software, o si puede delegar los registros necesarios, a través de un CNAME, a un proveedor diferente que lo permita.
Bien, puede comenzar con un proceso completamente manual con el que obtendrá los certificados que desea.
certbot certonly --manual --preferred-challenges dns -d a1.munilaserena.cl -d a2.munilaserena.cl
El Certbot le mostrará los registros DNS que tiene que crear, y luego puede confirmar cuando existen.
Entonces obtendrá archivos de certificado y clave en /etc/letsencrypt/live/a1.munilaserrena.cl que puede usar en su servidor Apache (configurandolos también manualmente). Otra opción si no quiere configurarlos manualmente sería
certbot -a manual -i apache --preferred-challenges dns -d a1.munilaserena.cl -d a2.munilaserena.cl
En estes escenarios, Certbot no puede renovar el certificado automáticamente. Deberá ejecutar el mismo comando nuevamente (al menos una vez cada 90 días) y luego el certificado y la clave se reemplazarán por otros nuevos.
(Con el desafio DNS, los servidores en sí no necesitan ser accesibles públicamente ni tener direcciones IP visibles públicamente, pero los registros TXT sí deben ser accesibles públicamente.)