Я настраиваю свой личный VPS с Nginx, и я читал о том, как защитить сервис. Но одна вещь была немного неясной для меня о сертификатах и управлении HTTPS:

Если я куплю доменное имя (www.example.com) у какого-либо стороннего поставщика, а затем сконфигурирую домен так, чтобы он указывал на IP-адрес моего VPS, предоставленный несвязанной стороной, кто будет управлять сертификатами?

Должен ли я выполнять всю обработку (сертификаты, настройку TLS, прослушивание https и т.д.) В конфигурации VPS и Nginx, или все это управляется поставщиком доменных имен? Или некоторые вещи обрабатываются провайдером доменных имен, а некоторые - в моей конфигурации Nginx?

2 ответа2

1

Вы будете выполнять обработку, о которой вы спрашиваете.

Вот обзор полной картины.

Вы предоставляете центру сертификации (которого вы называете провайдером DNS) все свои требования. Это может включать оплату и идентификацию.

Они предоставляют вам сертификат, указывающий на них как на орган выдачи.

Затем вы настраиваете веб-сервер для использования этого сертификата.

Когда кто-то заходит на вашу страницу с HTTPS, "S" в "HTTPS" обозначает "Безопасный". В предыдущие годы было довольно безопасно думать о S как о стоящем SSL, потому что способ, которым был реализован HTTPS, использовал HTTP по SSL. В настоящее время TLS - это современная реализация, которая обычно используется вместо старых версий SSL.

Когда веб-клиент (чаще всего называемый «веб-браузер») использует TLS (или SSL), он получает сертификат от веб-сервера. (Это будет автоматически сгенерированный сертификат, в некоторых отношениях отличающийся от сертификата, полученного от центра сертификации.) Затем веб-клиент проверяет, является ли сертификат доверенным. Сертификат, который получает веб-браузер, будет иметь следы вашего сертификата и центра сертификации. Веб-браузер может сказать, что сертификат был создан с благословения этого центра сертификации.

Веб-клиент просматривает свое собственное "хранилище сертификатов", которое обычно просто поставляется с веб-браузером и / или операционной системой. Поскольку приобретенный вами коммерческий сертификат, по-видимому, указывает на центр сертификации, который признан и пользуется широким доверием, веб-клиент считает веб-сервер доверенным.

Убедитесь, что когда вы получаете тот сертификат, за который вы заплатили, вы не отдаете его кому-либо еще. (Обычно я бы сказал, чтобы не делиться ею с кем-либо, кроме тех, кому вы должны доверять, например, компании, использующей веб-сервер, который вы используете. Но поскольку вы используете собственный веб-сервер, это исключение может не применяться. Хотя, если ваш "виртуальный частный сервер" ("VPS") не зашифрован, предположительно, ваш VPS-хост может получить доступ к данным.) Если кто-то, кто не заслуживает доверия, получит копию этого сертификата, им можно доверять. Другими словами, такой вор может эффективно украсть вашу личность. Так что не публикуйте тот сертификат, за который вы заплатили.

Одна вещь, которую вы можете сделать с вашим поставщиком DNS, - это настроить записи ресурсов DNS. Во многих случаях вы устанавливаете AAAA и / или A записи с ними. Лично я, как правило, просто устанавливаю записи NS у провайдера DNS и сам размещаю записи AAAA и / или A. Ваш провайдер DNS не обязательно должен быть той же организацией, что и тот, кто предоставляет ваши сертификаты. (Если использовать «Let's Encrypt» в качестве центра сертификации, я ожидаю, что они будут разными организациями.)

0

Если я куплю доменное имя (www.example.com) у какого-либо стороннего поставщика, а затем сконфигурирую домен так, чтобы он указывал на IP-адрес моего VPS, предоставленный несвязанной стороной, кто будет управлять сертификатами?

Кто бы ни управлял VPS, управлял бы этим. Регистраторы доменов (провайдеры доменных имен) технически работают только с IP-адресами и записями доменных имен, связанных с вашим VPS.

Должен ли я выполнять всю обработку (сертификаты, настройку TLS, прослушивание https и т.д.) В конфигурации VPS и Nginx, или все это управляется поставщиком доменных имен? Или некоторые вещи обрабатываются провайдером доменных имен, а некоторые - в моей конфигурации Nginx?

Сертификаты, TLS, https и т.д. - это все, что вы можете настроить на сервере с помощью Nginx и т.д. Поставщики доменных имен не играют никакой роли в этом аспекте.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .