c'è qualche modalità provvisoria per l'evenienza .........
3) in futuro potrei avere esigenza di gestire piu servizi dallo stesso >indirizzo; la certificazione base mi sembra sia per un solo dominio;
pensavo quindi di gestire i vari servizi come pagine del dominio principale
e dovrei configurare caddy(/nginx/apache) in reverse proxy per l'occorrenza.
scritto:
3) in futuro potrei avere esigenza di gestire piu servizi dallo stesso >indirizzo; la certificazione base sembra sia per un solo dominio;......
Per un solo dominio di 2 livello. Ciò significa che puoi avere anche un certificato wildcard che te lo gestisca, quindi infiniti domini di terzo livello.
/paride
<div dir="ltr" class="gmail_attr">Ciao Paride,</div><div dir="ltr" class="gmail_attr">grazie del commento che mi consente di capire meglio il problema dei livelli</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 3 novembre 2023 10:30:30 UTC, Giuliano Curti <<a href="mailto:giulianc51@gmail.com" target="_blank" rel="noreferrer">giulianc51@gmail.com</a>> ha scritto:<br>
dovrei configurare caddy(/nginx/apache) in reverse proxy per l'occorrenza.
dovrei configurare caddy(/nginx/apache) in reverse proxy perl'occorrenza.
per Apache web server: oltre a guardare sul sito di Apache stesso ti consiglio di dare un'occhiata anche al wiki di Debian, .....
........
Davide
<div dir="ltr" class="gmail_attr">Ciao Davide, grazie del riscontro</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Giuliano Curti ha scritto:<br>
3) mi chiedevo se era possibile una terza possibilità : N domini gestiti da N server esportati tramite un reverse proxy; in tal caso avrò bisogno di N certificati, ma mi viene il dubbio di cosa succeda al DNS, N domini che
hanno tutti lo stesso indirizzo! Si può fare? E poi il reverse proxy sarebbe in grado di gestire in contemporanea chiamate a domini diversi?
Questo dovrebbe confermare che è possibile ottenerlo su una macchina diversa e poi trasferirlo (togliendo l'angoscia di operare sulla macchina di produzione (si fa per dire) :-)))
On Sun, 5 Nov 2023, Giuliano Curti wrote:
3) mi chiedevo se era possibile una terza possibilità : N domini gestitida N
server esportati tramite un reverse proxy; in tal caso avrò bisogno di N certificati, ma mi viene il dubbio di cosa succeda al DNS, N domini che hanno tutti lo stesso indirizzo! Si può fare? E poi il reverse proxysarebbe
in grado di gestire in contemporanea chiamate a domini diversi?
Un certificato può essere emesso per più di un dominio......
nome di dominio, non all'indirizzo della macchina.
Un certificato può essere emesso per più di un dominio. e si riferisce a l nome di dominio,
non all'indirizzo della macchina.
Davide Prin ha scritto:Â
Giuliano Curti ha scritto:
dovrei configurare caddy(/nginx/apache) in reverse proxy per
l'occorrenza.
per Apache web server:
Capisco bene che il tuo consiglio è di andare su apache tralasciando
gli altri due (di nginx ne parlano un gran bene)?
potrei anche fare a meno del reverse proxy
Capisco bene che il tuo consiglio è di andare su apache tralasciando
gli altri due (di nginx ne parlano un gran bene)?
io mi ricordo che avevo guardato poco tempo fa (forse circa 2 anni fa)
e le prestazioni sui equivalevano tra Apache e Nginx e, se non ricordo
male, erano i più prestazionali... ....
Ciao
Davide
Se li hai visti emessi da CA riconosciute per indirizzi di reti non routabili, allora vanno segnalati: sono contrari alle policy CA/B forum!
Infatti il certificato potrebbe venir riutilizzato su una rete diversa, facendo così credere all'utente di essere collegato ad un sito quando invece è collegato ad un altro.
Inoltre, non essendo indirizzi routabili, vuol dire che non c'è stata verifica del sito.
questo non è corretto, io ho visto certificati emessi per un indirizzo IP. >> Li ho visti per siti interni ad una rete 10.x.x.x e quindi penso che in
teoria possano essere emessi anche per altri indirizzi.
L'unica cosa è che se lo fai emettere per un indirizzo IP poi non puoi
cambiarlo, pena il non funzionamento dell'esposizione in TLS.
dare un certificato a 10.10.10.10 non è ammesso, ma dare un certificato a serveri.my-nonpublic-network-example.net che ha un record A 10.10.10.10 è perfettamante ammissibile. ( e il record A lo puoi semp0re cambiare: pensa
a quei domini che hanno solo un cname: quello che succede ai record A e
AAAA della macchina a cui punta il cname sogno al di fuori del controllo.
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 297 |
Nodes: | 16 (2 / 14) |
Uptime: | 06:12:52 |
Calls: | 6,666 |
Files: | 12,213 |
Messages: | 5,336,023 |