升级我的家庭基础设施以学习和提高安全性,我无法找出如何最好地获得证书问题并在我的服务器上安装,其中包括:
- 防火墙(pfSense - FreeBSD):
fw.example.com - NAS(Openmediavault - Debian Buster):
nas.example.com:80▷nas.example.com:443 - 网络控制器(Unifi在与 NAS 相同的 Debian Buster 上)
nas.example.com:8443 - 视频控制器(Unifi 同上)
nas.example.com:7443 - 家庭自动化(hass.io 上的家庭助理)
home.example.com:8123
有了这样的背景:
我是否应该通过 Cron 在每台服务器上运行 ACME 协议软件(Certbot、 acme.sh 或同等软件)以让 Let's Encrypt 问题和更新证书?或者我应该在一台服务器上执行此操作并设置将生成的公钥和私钥复制到其他服务器?
是一个具有域本身 (example.com) 的主题备用名称(SAN) 的证书,并且每个子域 (fw.example.com、nas.example.com 和 home.example.com) 或通配符 (*.example)一个证书.com,它限制了身份验证方法)。还是每个服务器都应该获得自己的证书?
目前,除了防火墙之外,只有 Home Assistant 将面向外部。因此,它是问题/续订过程的明显候选者(鉴于我的注册商是 Google Domains,他们不支持DNS-O1,所以如果我不是每三个月手动续订一次,我需要一个 HTTP 服务器用于 HTTP-01 )。
将来,我想按顺序在防火墙上实现 OpenVPN。我的理解是,证书是/应该是私下生成的。
进一步的研究表明,HA 代理仅用于内部网站。有道理,因为它减少了需要当前证书的地方。但是需要 https 的软件:(例如 Unifi 控制器)不会抱怨,因为它不会知道它正在被安全访问,因为这是由 HA 代理处理的。对此有什么想法?
