Как настроить сертификаты ssl для любого домена ссылающегося на ip?

Question

[historydev]

Добавил nginx т.к. использую его, возможно некоторые решения будут для него.

У нас есть список из неизвестных доменов которые стучатся на ip машины, каким образом можно настроить серты в данном случае?

Чтобы все они работали по https.

Я нагуглил только серт на ip, но не уверен что это то, что нужно.

Если это то, что нужно, можно ссылочки на проверенных поставщиков? (у которых вы или ваши знакомые покупали)

Comments

[AlexVWill]

У нас есть список из неизвестных доменов

А есть список из будущего какие акции покажут рост в 1000 пунктов? Очень надо заработать... )))
Если домены неизвестны, то как они могут быть в каком то списке? Тем более если они вам не принадлежат.
Если же речь о доменах 3го уровня, вроде *.mysite.com, то гугли как делать wildcard.

[historydev]

AlexVWill,

Нет, домены принадлежат мне, неизвестные, потому-что я их все в глаза не видел, накопились за годы, допустим, все ссылаются на мой ip.

Я хочу в зависимости от домена, предпринимать какие-то действия, сайт выдавать например соответствующий, но он мне нужен по https.

[Андрей Гаврилов]

historydev, на каждый домен let's encrypt
Или cloudflare

[historydev]

Андрей Гаврилов, нет, нужно чтобы все домены ссылающиеся на ip автоматом были https

[#]

historydev, золотую рыбку потом не дадите на время? .. я верну.. ;)))

[Андрей Гаврилов]

historydev, это невозможно.
Их нужно делать или вручную или скрипт напиши

[historydev]

Андрей Гаврилов, какой скрипт?

[Андрей Гаврилов]

historydev, привязал домен, отправил данные в let's encrypt и сертификат готов

[AUser0]

#, а в очередь - где записываться?

Answer 1

[psiklop]

Добавить домены в конфиг nginx и установить обычно Let's Encrypt
P.S. Неизвестные домены, зачем же их добавлять на свой сервер. Мало ли куда они стучатся.

Answer 2

[CityCat4]

Что-то я нихрена не понял - какие неизвестные домены, как они стучатся? и зачем их обеспечивать сертификатом?

В РФ работает только один CA - это бельгийско-японский GlobalSign. Цены кусачие. На IP сертификат не дадут. Возможно на IP дадут сертфиикат на LE.

Comments

[historydev]

Если коротко, встретил одного идиота который поставил задачу, в список подзадач которых входила эта.

Когда я начал разбираться, он назвал меня "не тем специалистом которого он ищет" и слился.

Мой интерес ещё больше возрос и отсюда этот вопрос.

Вот допустим: a.com, b.com и g.com имеют А записи на 1.1.1.1

1.1.1.1 - это мой сервер.

Я не знаю сколько ещё есть буква.com

Нужно чтобы все они работали по https без необходимости вручную на каждый домен серт заказывать.

[CityCat4]

historydev, Ну есть такое понятие, как "wildcard certificate", но для доменов второго уровня его никто не даст :) Хотя на третий уровень могут вполне - так обычно решают вопросы конторы, не имеющие своих ИБ-шников - нужен например сертификат на mail.zhopa.ru, ns.zhopa.ru, proxy.zhopa.ru - берут один на *.zhopa.ru (при этом сам домен zhopa.ru он не подтверждает!)

Почему нужен именно wildcard сертификат? Потому что при заходе на сайт проверяется наличие в сертификате именно того доменного имени, по которому заходят. То есть если заходят на zhopa,ru - в сертификате zhopa.ru должно быть прописано (наличие там IP будет пофиг)

Поэтому же кстати, SAN-сертификаты такие дорогущие. (SAN - Subject Alternative Name, позволяет вписать в один сертификат множество разных имен, например один сертификат может заверять zhopa.ru, zadnica.net и ass.com)

[AUser0]

Другими словами: на IP адрес сертификат не выдаётся. Он выдаётся или на перечисленные домены второго уровня (a.com, b.com, c.com, и т.д.), или на любой возможный домен третьего уровня (*.a.com). Так что правильно этот фантазёр слился, ещё б и денег не заплатил...

[Rsa97]

CityCat4,

берут один на *.zhopa.ru (при этом сам домен zhopa.ru он не подтверждает!)

LE выдаёт wildcard-сертификат одновременно на *.example.com и сам example.com.

[CityCat4]

Rsa97, Значит там SAN, который заверит два домена. В этом ничего удивительного нет - даже AlphaSSL (подразделение GS) при выпуске сертификата на zhopa.ru автоматически, без дополнительной просьбы вписывает туда www.zhopa.ru, то есть фактически сертификат выдается на два домена.

[historydev]

CityCat4, то есть задача в том формате, что он поставил не выполнима, верно? (автоматом, без рук)

[CityCat4]

historydev, Она выполнима только выпуском своего сертификата, которому никто доверять не будет :) Если же иметь в виду выпуск в мировом CA (даже в LE) - она невыполнима ни автоматом ни вручную.

[historydev]

CityCat4,

Спасибо, идиот для него диагноз верный, по всей видимости)

Answer 3

[Drno]

Получаешь сертификат летснкрипт для всех доменов и пожалуйста, будет работать.

На ip никто серт не выдаёт

Answer 4

[Rsa97]

Сами по себе сертификаты, без сервера (программного), который их использует, смысла не имеют. У каждого сервера есть конфигурация, в которой указаны доменные имена, которые этот сервер обслуживает. Следовательно, нужен скрипт, который периодически будет шерстить конфиги серверов, доставать оттуда имена доменов, делать общий список, запрашивать на LE сертификаты для каждого домена и, после получения сертификатов, перезапускать службы серверов.

Answer 5

[Condor]

LE (да и другие) не выдают серты для ip, только на домены/поддомены (wilcard). Поэтому:

1) У каждого домена из списка в DNS должна быть указана A запись с ip на ваш сервер
2) На сервере генерируются nginx конфиги для каждого домена
3) Затем для каждого домена получаем LE сертификат (certbot или любой другой клиент + автообновление за 1-2 месяцев до окончания).

Answer 6

[Виктор Таран]

https://www.cloudflare.com/ - бесплатно создаеш акаунт для всех этих доменов вместо ДНС включаешь прокси, и выставляешь подставлять сертификать https-http
кауд сам будет выдавать сертификат и закрывать им соедениние.
единственное что останется это http соединение до самого клауда.
Но судя по вашему запросу вы не очень сильно понимаете суть проблемы или описали ее не совсем валидно.

Answer 7

[edo1h]

Выдача сертификатов «для всех доменов» была бы явной дырой в безопасности, единственное применение, которое приходит в голову — MITM атака.

Подобные решения используются только в корпоративных файрволах, но там на компьютере пользователя устанавливается доверие к подписывающему сертификату.
Ещё вроде бы в Казахстане была подобная история на уровне государства, но там в итоге от неё отказались.