Zertifikat bei Webserver im LAN am DSL Anschluss
Hallo zusammen,
im LAN läuft ein Web-server (z.Zt. IIS) auf einer lokalen Maschine.
Dieser Webserver soll aus dem Internet erreichbar sein.
Router (pfsense) hat DSL Anschluss mit statischer IP.
In der Router Firewall ist Port 443 geöffnet und routet auf den Webserver.
Im Web habe ich eine Domain, bei der ich eine Sybdomain (homeserver.mydomain.de) einrichten möchte, um darüber auf den Webserver im LAN zuzugreifen.
Hier stehe ich nun auf dem Schlauch, wie ich weitergehe, um den Webserver per https und (Let's encrypt) Zertifikat aus dem Internet erreichbar zu machen.
Ein Zertifikat ausstellen für homeserver.mydomain.de und der externen IP des Routers? Obwohl der IIS eine lokale IP (192.168..)hat?
Das Zertifikat auf dem IIS einspielen oder auf dem Router?
p.s. Den Webserver auf einen gehosteten Server zu legen, ist leider keine Option.
Vielen Dank für Eure Hilfe.
im LAN läuft ein Web-server (z.Zt. IIS) auf einer lokalen Maschine.
Dieser Webserver soll aus dem Internet erreichbar sein.
Router (pfsense) hat DSL Anschluss mit statischer IP.
In der Router Firewall ist Port 443 geöffnet und routet auf den Webserver.
Im Web habe ich eine Domain, bei der ich eine Sybdomain (homeserver.mydomain.de) einrichten möchte, um darüber auf den Webserver im LAN zuzugreifen.
Hier stehe ich nun auf dem Schlauch, wie ich weitergehe, um den Webserver per https und (Let's encrypt) Zertifikat aus dem Internet erreichbar zu machen.
Ein Zertifikat ausstellen für homeserver.mydomain.de und der externen IP des Routers? Obwohl der IIS eine lokale IP (192.168..)hat?
Das Zertifikat auf dem IIS einspielen oder auf dem Router?
p.s. Den Webserver auf einen gehosteten Server zu legen, ist leider keine Option.
Vielen Dank für Eure Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1763871016
Url: https://administrator.de/contentid/1763871016
Ausgedruckt am: 19.12.2024 um 15:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
mache mal das Portforwarding auf den IIS rückgängig!
Danach nutzt du den HAProxy auf der pfSense und spielst dort das Zertifikat von Let'sEncrypt ein.
Name = homeserver.mydomain.de | IP = WAN-IP
https://www.agix.com.au/configure-haproxy-on-pfsense-with-letsencrypt-ss ...
Dann erstellst du für den IIS ein internes, selbsterstelltes Zertifikat
NAME: homeserver.mydomain.intern, alternativer Name: homeserver.mydomain.de
Das Zertifikat wird zusätzlich noch auf deine Clients verteilt, damit dem Zertifikat vertraut wird und gut,.
Ggf. musst du am internen DNS noch eine neue Zone anlegen: homeserver.mydomain.de und gibst als Ziel deinen internen IIS an, dann kannst du immer mit https://homeserver.mydomain.de auf den Server zugreifen, egal ob du intern oder extern unterwegs bist.
Mit dem obigen Konstrukt hast du den Vorteil, dass du
a) deine IIS nicht nackt im WWW stehen hast
b) du über Ports auch noch andere (Web)Dienste bereitstellen kannst, und dafür dann auch bereits ein Zertifikat hast
Vermutlich haben andree Kollegen noch andere Ansätze/ Ideen...
Gruß
em-pie
mache mal das Portforwarding auf den IIS rückgängig!
Danach nutzt du den HAProxy auf der pfSense und spielst dort das Zertifikat von Let'sEncrypt ein.
Name = homeserver.mydomain.de | IP = WAN-IP
https://www.agix.com.au/configure-haproxy-on-pfsense-with-letsencrypt-ss ...
Dann erstellst du für den IIS ein internes, selbsterstelltes Zertifikat
NAME: homeserver.mydomain.intern, alternativer Name: homeserver.mydomain.de
Das Zertifikat wird zusätzlich noch auf deine Clients verteilt, damit dem Zertifikat vertraut wird und gut,.
Ggf. musst du am internen DNS noch eine neue Zone anlegen: homeserver.mydomain.de und gibst als Ziel deinen internen IIS an, dann kannst du immer mit https://homeserver.mydomain.de auf den Server zugreifen, egal ob du intern oder extern unterwegs bist.
Mit dem obigen Konstrukt hast du den Vorteil, dass du
a) deine IIS nicht nackt im WWW stehen hast
b) du über Ports auch noch andere (Web)Dienste bereitstellen kannst, und dafür dann auch bereits ein Zertifikat hast
Vermutlich haben andree Kollegen noch andere Ansätze/ Ideen...
Gruß
em-pie
Hallo Aubanan
ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert
Gruß
Daniel
ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert
Gruß
Daniel