Wpis z mikrobloga

@Czlowiek_Ludzki: Wildcard w CF przez DNS :)

@Czlowiek_Ludzki: Certyfikatów nie wygenerujesz dla adresu IP tylko FQDN.

@Czlowiek_Ludzki żeby wygenerować potrzebujesz klienta acme Lets Encrypt. Wtedy w piholu ustawiasz sobie już IP i przypisujesz do domeny czy subdomeny. W aplikacji (serwer www czy co tam masz) wrzucasz wygenerowany certyfikat. Po tych krokach łączysz się już po nazwie domenowej do swoich zasobów.

@Czlowiek_Ludzki: Możesz korzystać z Certbota :D Tym też to osiągniesz :D

Ale do tego co Ty chcesz zrobić to najwygodniej przez wildcard bo jak masz swoją domenę w CF to nie musisz podawać obecnego IP, robić przekierowań itp itd. tylko Certbot/acme/whatever po kluczu API sobie zrobi magię DNS (weryfikacja TXT) i masz certyfikat :D a później go wgrywasz gdzie chcesz i jedynie musisz go aktualizować co ~3 miesiące.

@Czlowiek_Ludzki: możesz się uwierzytelniać przez API DNS, sporo klientów to wspiera. W homelabie mam nginx proxy manager który ogarnia to sam, wspiera wielu dostawców DNS.

@Immortale możesz mieć certy na IP, masz do tego nawet dedykowane pole SAN_IP, ale konkretnie LE tego nie robi od kilku lat.
https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082?u=weppos

@annotate: Tylko to nie do końca jest best practice a jak ma domenę to szkoda sobie komplikować skoro można to zrobić w paręnaście minut

to nie do końca jest best practice

@Immortale: zależy jak na to patrzeć i co chcesz osiągnąć. Pole istnieje w certach, przeglądarki, curl i podobne toole je akceptują. Jak by nie istniało i nie było wspierane to inna sytuacja, ale to nie jest żaden tajny hack.

Nie zawsze trzeba uparcie robić tak jak inne muchy - jak ma być zielona kłódka, to będzie, a że gorzej wygląda... czasem warto.
Dziś wszyscy podniecają się CF i CF tunnels, jeśli za chwilę to zniknie to trzeba będzie sobie przypomnieć jak się stawiało vpnaPokaż całość

@annotate: Nie no wszędzie stosowane są nazwy domenowe bo jest wygodniej. Spamiętanie IPków to katorga :D

A co do sytuacji OPa to Pihole nic nie zmienia. Generuje certyfikat klientem LE i sobie go używa jak chce. Wygodniej jest wildcard + DNS bo nie musisz martwić się o IPki przy challengu HTTP + nie musi wystawiać rzeczy na świat :)

@Immortale: i dokładnie to bym @Czlowiek_Ludzki proponował. Robisz raz i z głowy na lata :) Na dodatek masz mnóstwo usług pod ładnym certem a nie musisz w internecie wystawiać nic.

No nie tylko o wygodę chodzi - za domeną ukrywasz np. implementację bardziej skomplikowanej architektury która nie jest nawet u jednego dostawcy, albo w ogóle nie ma stałej adresacji, jak usługi chmurowe. Możesz też wtedy dowolnie mieszać wiele serwerowni/usługPokaż całość

@Czlowiek_Ludzki: nic się nie będzie gryźć.

Usługi w sieci wewnętrznej będą widziały poprawne certy, na zewnątrz nie będzie widać nic.
Na routerze swoim ustaw żeby wszystkie hosty najpierw z DNSami strzelały do niego (a on gdzie tam chcesz, google, cloudflare, Twój dostawca internetu, nie ważne). Do tego dorzuć na routerze na sztywno żeby konkretne domeny były pod konkretnymi adresami (u mnie to się static DNS nazywa), przekieruj usługi na Twojej domenie na wewnętrzne adresy 192.168.x.x itp..

I koniec roboty - masz ładne certyfikaty, wszystkie urządzenia w Twojej sieci to akceptują, na zewnątrz nicPokaż całość