Dzień dobry wszystkim,

Podpowiedzcie proszę jak powinienem się do tego zabrać. Otóż mam serwer na którym mam kilka VHostów w lokalnej domenie. Chciałbym jeden z nich (właściwie już mam ale tylko http - bez https) uruchomić z SSL i teraz uwaga mój serwer na którym znajduja się wszystkie dane DNS znajduje się .... 1000 km ode mnie i nie mam możliwości umieścić tam moich plików (tak byłoby pewnie łatwiej ale nie mogę) za to mogę stamtad przekierować domene do mojego ip. Jak już wspomniałem wszystko działa ale tylko http.
Gdzie powinienem umieścić certyfikat SSL żeby strona była zabezpieczona (port 443 otwarty). Czy certyfikat musi znajdować się na serwerze "tam" czy mogę to zrobić u mnie a jedynie w kontrolerze domeny dodać IP dla Https ?
(czy miejsce gdzie został wygenerowany certyfikat na znaczenie? - csr został wygenerowany na serwerze gdzie znajduja się pliki, nie na serwerze gdzie znajduje się DNS)
Może mnie ktoś oświecić jak to powinno wygladać ?

Mam nadzieję, że to co napisałem to nie jakaś koszmarna "bezsensowna papka" i rozumiecie o co pytam

Pozdrawiam
...amator.

Cert powinien być tam gdzie wpada ruch od klienta bo to jest szyfrowanie klient serwer. Potem po trafieniu do serwera możesz robić co chcesz

Czyli źródło danych (miejsce gdzie znajduja sie pliki) nie ma znaczenia tylko jak piszesz skad przychodzi klient znaczy tam gdzie DNS ?

uściślając IP na które kieruje domena.

Czekaj, czekaj, czyli jak?

kontroler domeny znajduje się np tu 1.2.3.4 skad przekierowuje na adres gdzie fizycznie znajduje się strona czyli na 2.3.4.5
więc gdzie CERT ma być ?
Na 1.2.3.4
czy
2.3.4.5 ?
Jeśli na 2.3.4.5 to mam go tam i w konfiguracji VHost'a mam ścieżkę gdzie znajduje się certyfikat, wszystko skonfigurowane ale kiedy próbuję otworzyć https://2.3.4.5
pokazuje mi się jedynie strona Hostingu i nie przekierowuje mnie na mój serwer.
Czegoś nie kapuję albo ..... skopałem konfigurację albo coś jeszcze musi być właczone w kontrolerze domeny.

serwer DNS Cię nie interesuje wcale...


Interesuje Cię sama domena i gdzie ona kieruje. więc jeśli domena kieruje na 2.3.4.5 to tam ma być cert.

Nie do końca więc rozumiem jak to działa ponieważ jakiś czas temu robiłem coś podobnego i umieściłem stronę na serwerze który był całkowicie odizolowany a certyfikat był na głównym serwerze skad było tylko przekierowania zrobione na IP.
Czyli certyfikat nie znajdował się tam gdzie dane/strona.
.....

Szyfruje serwer, nie ty. Serwer HTTP, czyli apache/nginx, nie ty. Taki serwer musi mieć dostęp do certyfikatu i klucza prywatnego użytego do podpisania certyfikatu. Taki serwer się konfiguruje żeby używał certyfikatu i klucza do szyfrowania ruchu.

Certyfikat nie musi znajdować się tam gdzie znajdują się twoje serwery, bo "przed" serwerem może być loadbalancer/proxy który ten ruch będzie rozkładać pomiędzy serwerami i taki loadbalancer/proxy będzie szyfrować ruch.

Czyli w moim przypadku rolę tego "balansera" będzie pełnił 1.2.3.4 i to on będzie pobierał dane z serwera gdzie trzymam zawartość strony (2.3.4.5) szyfrował i wysyłał do "klienta" ?

Jeśli tak to już rozumiem ...
... chyba

Może zacznij od zapoznania się z topologią

Na wejściu masz klienta. Klient wklepuje adres mojadomena.com. Rządanie leci przez DNS providera (nie ważne) aż do serwera DNS gdzie jest podpięta domena (np 1.1.1.1)
Potem serwer DNS (1.1.1.1) odnajduje wpis dla domeny mojadomena.com i ma zapisane że ta domena jest serwowana pod adresem 2.2.2.2 więc tam leci request.

Jak request wpadnie do 2.2.2.2 to tam serwer HTTP sprawdza czy ma coś z tej domeny. Jeśli ma to negocjują połączenie. I na tym etapie wchodzi certyfikat.

Jak wcześniej napisałeś że wszedłeś pod IP i nie dostałeś strony to jest to normalne bo widocznie nie masz ustalonego kontraktu gdzie dany IP odpowiada konkretnej stronie więc serwer dał jakąś tam stronę (wg. reguł swoich i tego co ma tam zapisane w configach)

Ergo... certyfikat podpinasz pod tak na prawdę pierwszy serwer który serwuje zawartość (może być to serwer HTTP albo Loadbalancer) a co dalej się dzieje wew. serwera już cie nie interesuje bo tam może być równie dobrze połączenie tunelowane VPN do innego serwera skąd pobiera zawartość innym requestem)