DNS + HTTPS

Scenariusz z życia

Strona ma być dostępna pod własną domeną (np. intranet.firma.local) i po HTTPS — żeby przeglądarka nie pokazywała ostrzeżenia i żeby ruch był szyfrowany. DNS: serwer rozwiąże nazwę na adres IP (np. Bind, dnsmasq). HTTPS: certyfikat TLS (Let's Encrypt lub wewnętrzny CA), konfiguracja Apache/nginx pod SSL. Bez DNS użytkownicy muszą wpisywać IP; bez HTTPS hasła i dane idą w cleartext.

Co się dzieje w systemie

DNS: demon (named/Bind lub dnsmasq) odpowiada na zapytania (A, AAAA, CNAME itd.); strefy w plikach konfiguracyjnych. HTTPS: certyfikat (klucz prywatny + certyfikat) powiązany z virtual hostem; port 443, TLS handshake. Let's Encrypt: certbot pobiera i odnawia certyfikaty automatycznie. Wewnętrzny CA: własny certyfikat root, podpisane certyfikaty serwerów — klienci muszą trustować CA.

Co administrator zyskuje

Użytkownicy wchodzą po nazwie (np. panel.firma.pl), nie po IP. HTTPS = zaufanie przeglądarki i szyfrowanie. Automatyczne odnowienie certyfikatów (certbot) — brak wygasłych certyfikatów.

Typowy błąd

Zapomnieć o odnowieniu certyfikatu — po wygaśnięciu przeglądarka blokuje. Albo: DNS wskazuje na zły adres lub nie ma rekordu — „strona nie istnieje". Albo: certyfikat na złą nazwę (CN/SAN) — ostrzeżenie w przeglądarce. Albo: wewnętrzny certyfikat bez dodania CA do zaufanych na klientach — błąd SSL.

Myślenie administratora

DNS najpierw — żeby nazwa wskazywała na serwer. Potem certyfikat na tę nazwę, konfiguracja SSL w serwerze WWW. Monitoruj daty wygaśnięcia certyfikatów; certbot cron lub ręczne odnowienie. Wewnętrzny CA = dystrybucja certyfikatu root do wszystkich klientów.

Zapamiętaj – 4 fakty praktyczne

• DNS: Bind lub dnsmasq; rekordy A/CNAME wskazują nazwę na IP serwera WWW.
• HTTPS: certyfikat TLS na virtual host; Let's Encrypt + certbot do automatycznego odnowienia.
• Certyfikat musi obejmować nazwę, pod którą użytkownicy wchodzą (CN/SAN).
• Wewnętrzny CA: klienci muszą mieć dodany certyfikat root do zaufanych, inaczej błąd SSL.