Как купить и прикрутить SSL сертификат для самописного REST сервиса?

Question

[User1582]

Добрый день!

Столкнулся с проблемой.
У меня есть фронтенд(Java, Spring) и бекенд(angular 4).
Мне нужно добавить HTTPS для всего этого.
Я добавил SSL сертификат для фронтенда, но также мне необходимо добавить сертификат для бекенда.

И вот тут вопрос - как мне купить сертификат для бекенда?
Ведь при покупке сертификатов требуется подтвердить либо домен, либо еще что-то...а у меня самописный REST сервер, который крутиться на арендуемом виртуальном сервере.

Comments

[Максим Грищенко]

Поставьте nginx как ревер-прокси перед спрингом и https через certbot для lets encrypt

Все, больше ничего не нужно

Answer 1

[Владимир Коротенко]

1. зачем вам ssl в вашей песочнице, вы жгете такты процессора непонятно для чего.
2. выпустите свой сертификат и подписывайте свои сервисы.

Настройка доверия, цепочки отзывов сугубо в ваших руках. Впрочем можно получить wilcard сертификат и разруливать доступ на уровне firewall или на уровне самого приложения, разрешая или запрещая доступ с определенного хоста и порта

Comments

[User1582]

Владимир Коротенко , спасибо за Ваш ответ!
Дело в том, что, насколько я понимаю, браузер проверяет подпись не только сертификата фронтенда, но и ему важно какой сертификат используется при обращении этого фронтенда на сервер.
Изначально я думал что получиться ограничиться только сертификатом на фронтенд, но не учел тот момент что приложение то фактически целиком грузиться к пользователю и запросы на сервер идут уже фактически напрямую от пользователя, потому и нужен HTTPS для связи с сервером.
И получается что как бы для фронтенда как такового мне сертификат то и не нужен, ну или я опять тут что-то плохо понимаю....

[Владимир Коротенко]

Павел, Смотрите в случае типовой конфигурации:

Nginx: порты 80 и 443 нацелены на внешний ip устанавливается ssl сертификат для вашего внешнего сервера

Ваш бэкенд, кэшируется через nginx, разворачивается на локальном порту 5000 или 8080 или 8000
Извне не доступен по соображениям безопасности и скорости.

Nginx перенаправляет все запросы для локации https://you_site_name.ru/api
На адрес 127.0.0.1:5000 или допустим на адреса из пула воркеров

10.0.0.2:5000
10.0.0.3:5000
10.0.0.4:5000

Поэтому браузер имеет дело только с внешним сервером https://you_site_name.ru/api

[User1582]

Владимир Коротенко , я так понимаю, мне нужно в любом случае чтобы тот сервер, который работает в связке с фронтендом, имел свое доменное имя, на которое будет зарегистрирован сертификат.
Я попробовал с самоподписанным сертификатом и у меня есть блокировка браузера, т.е. на фронтенде я имею ошибку ERR_CERT_AUTHORITY_INVALID до того момента, пока я не зайду через браузер напрямую на сайт и не скажу ему что подключаться безопасно. Только после этого фронтенд начинает работать.
Получается мне в любом случае никуда без нормального сертификата, который будет восприниматься браузерами.
И, в случае арендованных VPS, если я захочу поменять VPS, то мне нужно перенастраивать привязку доменное имя - IP адрес сервера.

[Владимир Коротенко]

Павел, что то по ходу вы делаете не так.
Извне вам эти самоподписные хосты вообще не должны быть доступны. Впрочем и соединение может настраиваться как с известным CA так и с неизвестным.

Сверьтесь с этой статьей https://abc-server.com/ru/blog/administration/crea...
По идее у вас должен быть доступ к серверам только изнутри, проверьте curl что бы не было ошибок в области ssl

[User1582]

Наверное я действительно что-то по-другому накрутил.
Здесь пишут что у меня проблема связана с ограничениями браузера
Поставил на бекенд nginx в роли proxy, зарегистрировал доменное имя для бекенда, приобрел сертификат для доменного имени и теперь все хорошо :)
Мне теперь действительно не нужен сертификат сертификат для фронтенда, т.к. я могу на него заходить без https, но при этом он подключается к бекенду по HTTPS (смотрел через wireshark).

Answer 2

[Дмитрий Александров]

nginx в роли прокси и в него сертификат от letsencrypt.