Vamos Criptografar: use o Subject Alternative Name para domínio interno

1

Meu Synology NAS é capaz de executar a interface web via HTTPS. Por padrão, você acessa o NAS por meio do nome (digamos, mynas ), então http(s)://myname:5001 ou http(s)://myname.local . O padrão é um certificado SSL para synology.com .

Você pode criar um novo certificado usando o comando Let's Encrypt; você encaminha as portas necessárias do seu roteador para o seu NAS, eu criei um sub-domínio de um domínio que possuo e atualizei o DNS para apontar para o meu ip de casa. (por exemplo, home.my-domain-i-own.com )

Eu esperava poder inserir myname;myname.local como nomes alternativos do assunto, para que eu possa navegar no meu NAS internamente via HTTPS sem aviso. No entanto, Let's Encrypt não aceita nomes de domínio que não podem validar, aparentemente.

Minha pergunta : como resolver o problema Posso usar um certificado Let's Encrypt com meu domínio mynas.local sem nenhum aviso?

    
por Jurian Sluiman 08.10.2016 / 19:15

2 respostas

2

O problema

Você não é o proprietário do nome de domínio mynas.local , então, é claro, Let's Encrypt não assinará um certificado dizendo que você é o proprietário desse domínio. Se eles assinassem esses certificados, os navegadores logo parariam de confiar em Let's Encrypt.

Em vez disso, o que você precisa fazer é usar seu próprio nome de domínio para acessar o NAS, independentemente de onde você o acessa. Isso não é apenas por causa do certificado, é também porque é mais conveniente se você tiver dispositivos móveis que precisem acessar o NAS tanto de dentro de sua LAN quanto de fora.

Parece que você tem um NAT na sua rede que está atrapalhando apenas apontar seu nome de domínio no IP do seu NAS. Se você não usou NAT, isso simplesmente funcionaria.

A solução

A solução ideal é usar uma rede sem NAT. Você ainda pode ter um firewall bloqueando conexões de fora para tudo, exceto a porta HTTPS no NAS, se você quiser.

É improvável que o seu ISP fornecesse endereços IPv4 suficientes para essa configuração, por isso, se quisesse fazê-lo dessa forma, teria de o fazer com o IPv6.

Você pode configurar sua LAN de forma que o IPv4 seja NAT pelo seu gateway e o IPv6 seja roteado sem o NAT. Para o nome escolhido para o seu NAS, você pode criar um registro A apontando para o seu NAT e um registro AAAA apontando para o NAS.

Os clientes na sua rede local terão um caminho IPv6 diretamente para o NAS e devem preferir usar o registro AAAA. O uso do endereço IPv4 envolveria o NAT suspenso, mas isso só seria usado como alternativa no caso de falha na conexão IPv6. Dado que o cliente e o NAS seriam apenas um salto um do outro sem nenhum roteador entre eles, seria raro que a conectividade IPv6 falhasse.

Clientes de fora da sua LAN usarão IPv4 ou IPv6 dependendo da rede à qual estão conectados. Se eles estiverem em uma rede somente IPv4, precisarão passar pelo encaminhamento de porta em seu NAT, que você deve deixar configurado da mesma forma que é agora.

Uma solução alternativa

Se o seu ISP ainda não suporta o IPv6, então não há uma solução limpa para o seu problema. No entanto, ainda existem soluções possíveis.

Você pode configurar seu próprio servidor DNS no gateway NAT. Esse servidor DNS precisará considerar-se autoritativo para o seu domínio e recorrer a tudo o mais. Esse servidor DNS terá que distribuir endereços locais quando for solicitado seu domínio.

Os clientes na LAN receberão um endereço IP local e se conectarão diretamente ao NAS. Clientes fora de sua rede local não estarão usando o servidor DNS em seu gateway NAT, em vez disso, receberão respostas do servidor autoritativo real apontando para seu IP externo.

    
por 08.10.2016 / 20:21
1

É impossível porque você não possui mynas.local deste domínio na Internet (ou seja, propriedade).

    
por 08.10.2016 / 19:51