web-dev-qa-db-ja.com

1つのIPに複数のSSLデバイスを使用してホームネットワークをセットアップする

着信IPが1つしかないルーターの背後で複数のSSLデバイス(Raspberry PiおよびSynology)を使用することは何らかの方法で可能ですか?私の願いは、サブドメインでそれを使用することです。両方のサブドメインを着信IPにポイントすることはできますが、ルーターの背後でそれらを分割するにはどうすればよいですか?ローカルDNSサーバーに役立ちますか? SynologyがDNSサーバーとして機能できることは知っていますが、それは役に立ちますか?

どちらのデバイスも、Let'sEncryptのSSL証明書を使用しています。

よろしくお願いします!

2
mike

着信IPが1つしかないルーターの背後で複数のSSLデバイス(Raspberry PiおよびSynology)を使用することは何らかの方法で可能ですか?

はい。あなたが話していることは、 リバースプロキシ を設定する必要があります。基本的に、あなたは例えばを作る必要があります。サブドメインs1.abc.comおよびサブドメインs2.abc.comは、Apacheやネットワーク上のNginxを使用して、そのWebサーバーに着信要求を適切なデバイスに転送させます。

Reverse Proxy Diagram

両方のサブドメインを着信IPにポイントすることはできますが、ルーターの背後でそれらを分割するにはどうすればよいですか?

リバースプロキシには、両方のサブドメインに仮想ホスト(Apacheの場合)またはサーバーブロック(Nginx)が必要です。通常、適切なHTTPSまたはプロキシディレクティブはこれらのエントリの下にあります。

SynologyがDNSサーバーとして機能できることは知っていますが、それは役に立ちますか?

この場合、DNSは解決策ではないため、着信要求を「分割」することはできません(ただし、DNSサーバーを使用すると、一般的にこれ以外の場合に役立ちます)。

どちらのデバイスも、Let'sEncryptのSSL証明書を使用しています。

最も簡単な方法は、これらの証明書をリバースプロキシに転送し、内部ネットワークでHTTPを使用することです。内部でのHTTPS転送は可能ですが、単純な家庭での使用には頭痛の種が多く、必要性が少ない可能性があります。

メモ

  • テスト用に最初にリバースプロキシをHTTPのみとして設定し、その後で証明書を追加することをお勧めします。

  • Let's Encryptは、ワイルドカードドメイン証明書を提供するようになりました(2018年1月頃から)。これは、サブドメインの数が多く、追跡する必要のある証明書の数を最小限に抑えたい場合に役立ちます。ワイルドカードドメインでは、DNS TXTレコードによる検証が必要であることに注意してください(少なくとも特定の状況では、Synologyが役立つ場合があります)。

2
Anaksunaman

それで、ついに。 Dockerでnginxをセットアップするのに何時間も苦労した後、Synologyが独自のNginxを実行しているという情報に出くわしました:)つまり、「小さな」構成とすべて(Let´s Encryptを含む)が稼働していて、インストールはありませんでした。まったく、そしてほとんどはUI自体(DSM)によって構成可能です。 Synology Nasは、多くの機能を備えた本当に素晴らしい製品です。 Synologyに感謝します。そして何よりも、すばらしい答えと正しい方向を示してくれたAnaksunamanに感謝します。

0
mike