如果有多個轉發，哪個伺服器創建 CSR

我的伺服器環境：

我有一個名為abc.com 的網站。我通過 cPanel使用高級 DNS 區域編輯器創建了****子域呼叫展示，它指向我的靜態 IP 123.123.123.123

demo.abc.com => 123.123.123.123 (winbox installed)

然後我有另一個本地 192.168.1.123 的 tomcat 伺服器，我有一個埠轉發設置123.123.123.123:80 into 192.168.1.123

現在，當我鍵入時demo.abc.com，它將執行我192.168.1.123託管的 tomcat 網站。

現在我需要在**https://demo.abc.com**上安裝SSL

我需要使用哪個伺服器來創建 CSR 文件？

123.123.123.123 還是 192.168.1.123 ？

通常最好在將實際使用證書的機器上生成 CSR - 它是在任何情況下都將持有證書密鑰的唯一機器，因此這樣您就不會增加證書洩露的風險。

在您的範例中，本地定址的伺服器無論如何都會執行可公開訪問的 Web 伺服器，因此只需進行最少的更改，您就可以啟用 TLS。

1. 為埠 443 添加轉發（類似於埠 80 的轉發）
2. 在本地定址的機器上生成證書請求
3. 獲取簽名證書
4. 將其添加到已經為demo子域提供服務的 Web 伺服器

但是，我強烈建議您閱讀更常見的設置。

這避免了以這種通用方式戳穿防火牆。通常，您不會進行埠轉發，而是使用公共 Web 伺服器進行代理 - 在這種情況下，證書將進入具有全域可路由地址的機器中，而私有地址空間中的應用程序永遠不會直接與客戶端對話或處理公共證書。

引用自：https://serverfault.com/questions/951617