synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяВеб Сервер + PHP / MySQL › SSL для одного домена

SSL для одного домена

dekar · 18.01.2016

Здравствуйте!

У меня сертификат на e-dnk.ru.

У меня есть виртуальные хосты в webstation. Https в webstation отключен, но почему-то всё переадресуется на https.

Таким образом я вижу ошибку сертификата на ans.e-dnk.ru.

Писал в техподдержку - они отсылают в техподдержку браузеров.

Что я настроил не так ?

Скриншоты:

 

http://i008.radikal.ru/1601/39/e62dacda4b6b.jpg

http://s005.radikal.ru/i212/1601/e6/486f12fe33d5.jpg

http://s017.radikal.ru/i411/1601/fd/74ffa1e83d8a.jpg

 

 

 

 

Спасибо

Тимур Рахимов · 18.01.2016

А какого поведения системы вы хотите добиться? (И, кстати, у вас поставлена галочка «Автоматически перенаправлять подключения HTTP на НTTPS»).

ent · 18.01.2016
dekar, вы используете для сайта с именем ans.e-dnk.ru сертификат, который выдан на имя www.e-dnk.ru.
dekar · 18.01.2016
dekar, вы используете для сайта с именем ans.e-dnk.ru сертификат, который выдан на имя www.e-dnk.ru.

 

Так мне нужно, чтобы подключение к DSM и службам происходило но HTTPS, а подключение к виртуальным хостам на webstation по HTTP.

Тимур Рахимов · 18.01.2016

Ну а проблема-то какая, никак не пойму? Это, конечно, возможно.

dekar · 18.01.2016
Ну а проблема-то какая, никак не пойму? Это, конечно, возможно.

 

Вопрос как сделать ? В настройках виртуальных хостов(см. скриншот) я указал, что использовать для ans.e-dnk.ru HTTP. Почему всё равно редиректит на https ?

 

В галочке "Автоматически перенаправлять подключения HTTP на HTPS (кроме Web station и Photo station)"

Тимур Рахимов · 18.01.2016

Так у вас вопрос только, почему выполняется редирект на HTTPS при обращении к вашему сайту (к любому из имеющихся виртуальных хостов?), хотя вы это в DSM не настраивали? Сертификаты, стало быть к вопросу отношения не имеют, странно только, что они так настойчиво упоминаются.

 

Ну, тому может быть множество причин, в том числе не связанных с DSM и вообще с Synology. Вы уверены, в частности, что этот редирект не делает код вашего сайта? Что в папке вашего виртуального хоста не находится файл .htaccess, содержащий соответствующие директивы? Это надо исключить, поместив в качестве теста в пустую папку виртуального хоста единственный файл простейшего содержания типа «Hello, world». Если ничего похожего, то, не доверяя DSM, можно будет посмотреть текущее состояние конфигурационных файлов, что там наворотили.

dekar · 19.01.2016
Так у вас вопрос только, почему выполняется редирект на HTTPS при обращении к вашему сайту (к любому из имеющихся виртуальных хостов?), хотя вы это в DSM не настраивали? Сертификаты, стало быть к вопросу отношения не имеют, странно только, что они так настойчиво упоминаются.

 

Ну, тому может быть множество причин, в том числе не связанных с DSM и вообще с Synology. Вы уверены, в частности, что этот редирект не делает код вашего сайта? Что в папке вашего виртуального хоста не находится файл .htaccess, содержащий соответствующие директивы? Это надо исключить, поместив в качестве теста в пустую папку виртуального хоста единственный файл простейшего содержания типа «Hello, world». Если ничего похожего, то, не доверяя DSM, можно будет посмотреть текущее состояние конфигурационных файлов, что там наворотили.

 

Сайт состоит из одной html страницы. .htaccess там нет вовсе. Так что этот вариант отпадает. Интересно, что такая проблема на всех виртуальных хостах.

Почему я написал про сертификат - дело в том, что проблема появилась после его установки ( и включения соответствующих галочек)

Тимур Рахимов · 19.01.2016

А подробнее напишите, пожалуйста, как появилась проблема (как было, что в точности сделали, и как стало).

Тимур Рахимов · 19.01.2016

Собственно сервер (Apache) руководствуется только настройками в конфигурационных файлах, которые регенерируются скриптами каждый раз, как вы ставите где-то галочку в настройках и сохраняете изменения. Вполне возможно, что в скриптах этих ошибка, которая привела при определённом стечении обстоятельств к вашей проблеме. А может, ещё что-то. Впрочем, всегда остаётся возможность проанализировать конфигурационные файлы напрямую и найти то место, которое порождает редирект.

dekar · 19.01.2016
Собственно сервер (Apache) руководствуется только настройками в конфигурационных файлах, которые регенерируются скриптами каждый раз, как вы ставите где-то галочку в настройках и сохраняете изменения. Вполне возможно, что в скриптах этих ошибка, которая привела при определённом стечении обстоятельств к вашей проблеме. А может, ещё что-то. Впрочем, всегда остаётся возможность проанализировать конфигурационные файлы напрямую и найти то место, которое порождает редирект.

 

Тимур, спасибо Вам за помощь!

Проблема появилась так: когда был самоподписываемый сертификат - всё нормально. Потом я приобрёл сертификат.

Включил https и все дополнительные галочки. Примечательно, что ans.e-dnk.ru - срабатывает редирект, а наans.dekarus.synology.me - редирект не срабатывает.

Буду благодарен, если подскажете какие конфиги копать?

Тимур Рахимов · 19.01.2016

Конечно, подскажу. К вашему вопросу имеют отношение:

 

/etc/httpd/conf/httpd.conf-user (главный конфигурационный файл; остальные подгружаются в него с помощью директивы Include)

/etc/httpd/sites-enabled-user/httpd-vhost.conf-user

 

Могут иметь отношение:

 

/etc/httpd/conf/extra/httpd-ssl.conf

/etc/httpd/conf/extra/httpd-ssl.conf-common

/etc/httpd/sites-enabled-user/httpd-ssl-vhost.conf-user

Тимур Рахимов · 19.01.2016

И у меня есть ещё один совет (часто помогает при настройке любой современной техники, поскольку она основана на устаревших, удобных только её создателям методах программирования): включите снова HTTPS в DSM, сохраните (сервер при этом перезапустится), потом выключите HTTPS и снова сохраните. А вдруг.

dekar · 19.01.2016
И у меня есть ещё один совет (часто помогает при настройке любой современной техники, поскольку она основана на устаревших, удобных только её создателям методах программирования): включите снова HTTPS в DSM, сохраните (сервер при этом перезапустится), потом выключите HTTPS и снова сохраните. А вдруг.

 

Так я уже пробовал. И разные комбинации галочек.

Тимур Рахимов · 19.01.2016

Ну а с галочкой «Включить соединения HTTPS» корректно работает? Без галочки сайт по HTTPS после редиректа всё же открывается? Что полезного показали эксперименты с галочками?

Тимур Рахимов · 19.01.2016

Да, вот ещё что, вывод команды ps|grep httpd покажите-ка мне, пожалуйста. Вообще-то, с этого всегда надо начинать диагностику веб-сервера, извините, что раньше не сказал.

 

Siroc-co · 19.01.2016

Кстати, вот который год получаю халявный сертификат https://www.startssl.com/ и установив в Synology на мобильниках получаю "опасный" сайт и недействительный сертификат, а на десктопных браузерах нормально. В чём проблема?

Тимур Рахимов · 19.01.2016
Кстати, вот который год получаю халявный сертификат https://www.startssl.com/ и установив в Synology на мобильниках получаю "опасный" сайт и недействительный сертификат, а на десктопных браузерах нормально. В чём проблема?

 

Подскажите, пожалуйста, что в точности вы имеете в виду под "установив на мобильниках"? Какая цель преследуется?

 

У меня тоже сертификат от StartSSL для сайта, но когда я использую этот адрес для подключения к сервисам DSM с мобильного устройства с помощью программ Synology (никакого сертификата на него не устанавливая), такого не наблюдаю. Более того, когда я использую в этих целях адрес, для которого сертификат заведомо будет недоверенным (вида xxx.synology.me), то тоже не вижу никаких предупреждений.

Siroc-co · 19.01.2016
Подскажите, пожалуйста, что в точности вы имеете в виду под "установив на мобильниках"? Какая цель преследуется?

 

У меня тоже сертификат от StartSSL для сайта, но когда я использую этот адрес для подключения к сервисам DSM с мобильного устройства с помощью программ Synology (никакого сертификата на него не устанавливая), такого не наблюдаю. Более того, когда я использую в этих целях адрес, для которого сертификат заведомо будет недоверенным (вида xxx.synology.me), то тоже не вижу никаких предупреждений.

Ну если выразиться точнее, то после слова Synology надо поставить запятую. А вы его, это слово, вообще опустили. И получится так:

...и установив в Synology, на мобильниках получаю...

То есть сертификат устанавливаю в Synology. Поидее он подписан, валиден. И по идее теперь, когда перейду на свой сайт по https, должен получить защищенную страничку. И с десктопных браузеров всё норм. А с мобильных браузеров сертификат определяется не валидным.

Тимур Рахимов · 19.01.2016

Я понял ваши слова так, что сертификат, помимо веб-сервера на Synology, вы установили в мобильное устройство, и усомнился, поэтому спросил. Такое имеет смысл, но редко (у нас на работе, кому нужна корпоративная почта на айфоне с зашифрованным каналом связи, такое как-то делают, я даже не знаю как).

 

Значит, сценарий обычный, просто просмотр сайтов https через браузер. У меня никаких предупреждений не появляется, что с сертификатом от StartSSL, что с самоподписанным сертификатом. Как воспроизвести ошибку, какие условия и последовательность действий нужно соблюсти, как у вас? Я попробую.

Тимур Рахимов · 19.01.2016

Может, дело в настройках сервера и в самом сертификате? Пришлите адрес, пожалуйста, можно личным сообщением, я попробую открыть со своего телефона.

dekar · 19.01.2016
Ну а с галочкой «Включить соединения HTTPS» корректно работает? Без галочки сайт по HTTPS после редиректа всё же открывается? Что полезного показали эксперименты с галочками?

 

Если отключить https совсем - всё работает. Если включить - всё заново.

 

ps|grep httpd:

 792 root     20180 S    /usr/bin/httpd -DSSL -f /etc/httpd/conf/httpd.conf-webdav
  793 root     46284 S    /usr/bin/httpd -DSSL -f /etc/httpd/conf/httpd.conf-webdav
  794 root     46284 S    /usr/bin/httpd -DSSL -f /etc/httpd/conf/httpd.conf-webdav
1092 admin     4188 S    grep httpd
7657 root     20684 S    /usr/bin/httpd -DSSL -f /etc/httpd/conf/httpd.conf-webdav
11786 root     27340 S    /var/packages/MediaServer/target/sbin/lighttpd -f /var/packages/MediaServer/target/etc/lighttpd.conf -m /var/packages/MediaServer
12736 root     12784 S    /usr/bin/httpd -DHAVE_PHP
12739 http     12532 S    /usr/bin/httpd -DHAVE_PHP
12742 http      289m S    /usr/bin/httpd -DHAVE_PHP
25861 root     15080 S <  /usr/bin/httpd -DSSL -DSPDY -DHSTS -f /etc/httpd/conf/httpd.conf-sys
25867 root     14340 S    /usr/bin/httpd -DSSL -DSPDY -DHSTS -f /etc/httpd/conf/httpd.conf-sys
25870 root      126m S <  /usr/bin/httpd -DSSL -DSPDY -DHSTS -f /etc/httpd/conf/httpd.conf-sys

 

Тимур Рахимов · 19.01.2016

Поясните, пожалуйста, более подробно и недвусмысленно: что значит «совсем» и «всё заново»? Если ваши слова будут восприниматься совершенно однозначно, это поможет делу. Прошу простить, но другого способа узнать, что у вас происходит, у меня нет. В результате своих «экспериментов с галочками» к какому-нибудь выводу пришли?

 

Вывод команды ps нормальный, по нему видно, что системный экземпляр запущен с ключом "SSL", а пользовательский — без (уверенность в этом мне необходима для интерпретации конфигов).

Тимур Рахимов · 19.01.2016

Впрочем, подождите. Что-то я не подумал раньше, только сейчас сообразил, глядя на ключ -DHSTS для системного экземпляра в вашем листинге. Вы ведь для Web Station, поди, тоже HSTS включали, и обращались к сайту, пока он включён, ну хоть один раз? Если да, то всё, что я говорил раньше, скорее всего, можно спокойно отбросить, дело не в этом.

dekar · 19.01.2016
Впрочем, подождите. Что-то я не подумал раньше, только сейчас сообразил, глядя на ключ -DHSTS для системного экземпляра в вашем листинге. Вы ведь для Web Station, поди, тоже HSTS включали, и обращались к сайту, пока он включён, ну хоть один раз? Если да, то всё, что я говорил раньше, скорее всего, можно спокойно отбросить, дело не в этом.

 

Да, наверняка включал и обращался. Но на данный момент HSTS и HTTPS для WebStation отключены.

Тимур Рахимов · 19.01.2016

Это не имеет значения. Ваш браузер запомнил, что сайт требует обязательного HTTPS (в этом основной смысл параметра HSTS) теперь на целый год.

dekar · 19.01.2016
Это не имеет значения. Ваш браузер запомнил, что сайт требует обязательного HTTPS (в этом основной смысл параметра HSTS) теперь на целый год.

 

Нет. у меня новая система второй день. Он не видeл HSTS.

Тимур Рахимов · 19.01.2016

Что такое «новая система»? Вас порой, к сожалению, трудно понять однозначно, а неверное предположение в деле поиска неисправностей заводит обычно далеко. Но вы бы проверили всё равно этот параметр в браузере для вашего сайта (я бы на вашем месте, учитывая обстоятельства, не утверждал так уверенно).

dekar · 19.01.2016
Что такое «новая система»? Вас порой, к сожалению, трудно понять однозначно, а неверное предположение в деле поиска неисправностей заводит обычно далеко. Но вы бы проверили всё равно этот параметр в браузере для вашего сайта (я бы на вашем месте, учитывая обстоятельства, не утверждал так уверенно).

 

Попробую описать боле подробно. Я очень долго переписывался с тех.поддержкой synology. По их предложению я переустановил DSM и настроил всё с нуля. Вообщем переустановка DSM ничего дала.

Потом я переустанавливал систему на своём компьютере. Соответственно теперь свежая опера, которая "не помнит" что когда-то был включен HSTS.

Я забыл уточнить - NAS DS 213

 

Тимур Рахимов · 19.01.2016

Понятно, спасибо. Кстати, я сейчас сделал то, что должен был сделать давно (ведь все данные вы сообщили): попробовать самому обратиться по адресам http://ans.e-dnk.ru/ и http://ans.dekarus.synology.me/. Сейчас оба у меня открываются по http, нет никакого редиректа. Это то, что вы хотели достичь, или нет?

dekar · 19.01.2016
Понятно, спасибо. Кстати, я сейчас сделал то, что должен был сделать давно (ведь все данные вы сообщили): попробовать самому обратиться по адресам http://ans.e-dnk.ru/ и http://ans.dekarus.synology.me/. Сейчас оба у меня открываются по http, нет никакого редиректа. Это то, что вы хотели достичь, или нет?

 

Именно так и нужно, но у меня http://ans.dekarus.synology.me/ открывается по http, a http://ans.e-dnk.ru перенаправляется на https и выдаёт ошибку:

Ваше подключение не является приватным

Не удалось подтвердить, что это сервер ans.e-dnk.ru. Его сертификат безопасности относится к www.e-dnk.ru. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные.
Вы не можете продолжить, так как оператор сайта запросил повышенный уровень безопасности для этого домена.

 

Так работает и дома, и на работе. И у некоторых знакомых.

Тимур Рахимов · 19.01.2016

Попробовал сейчас не только с рабочего компьютера, но и с телефона. Никакого перенаправления, сайт http://ans.e-dnk.ru/ прекрасно открывается по http. Дело не в сервере. Моё предположение — и у вас, и у знакомых в результате экспериментов остался поднятым флаг HSTS. Проверьте это и исключите моё предположение надёжно, иначе смысла в дальнейшей диагностике нет. Кроме того, удалите в браузере все данные для вашего сайта, очистите кэш браузера и перезапустите его.

dekar · 19.01.2016

Может опера у себя где-то в закромах запоминает..

Тимур Рахимов · 19.01.2016

А кстати, ваш сертификат, установленный в Synology, что вы использовали, выдан для сайта www.e-dnk.ru? Это лишнее доказательство, что браузер запомнил данные вашего сайта (см. сообщение об ошибке, что вы привели).

dekar · 19.01.2016
А кстати, ваш сертификат, установленный в Synology, что вы использовали, выдан для сайта www.e-dnk.ru? Это лишнее доказательство, что браузер запомнил данные вашего сайта (см. сообщение об ошибке, что вы привели).

 

Я похоже рраскрыл тайну века.

Вообщем - вы были правы.

Эксперимент:

1. открываем ans.e-dnk.ru - открывается номарльно по http.

2. Открываем e-dnk.ru открывается DSM по https (так и надо).

3. Пробуем снова ans.e-dnk.ru - ОПА! Ошибка.

 

Как это выпилить, чтобы рдирект срабатывал только на основном домене.

Тимур Рахимов · 19.01.2016

А вот это вот: «2. Открываем e-dnk.ru открывается DSM по https (так и надо)» — откуда следует, что «так и надо»? Для меня не очевидно. Веб-интерфейс DSM должен открываться по порту 5000 (или 5001 для https), а не по порту 443, как в этом случае.

Тимур Рахимов · 19.01.2016

Немного поразмыслил, и провёл элементарный эксперимент (который следовало уже давно провести) — обратился по HTTPS по адресам всех виртуальных хостов: https://e-dnk.ru, https://www.e-dnk.ru, https://ans.e-dnk.ru, https://ans.dekarus.synology.me. Везде открылся интерфейс Synology DSM (ответил системный экземпляр веб-сервера), между тем как у вас, согласно показанным в начале скриншотам, DSM настроена на стандартные порты 5000/5001, а судя по результатам вывода ps|grep httpd, у Web Station HTTPS отключено, и порт 443 она (то есть пользовательский экземпляр веб-сервера) даже не слушает. Отсюда вопрос: кто отвечает на 443 порту? У вас что, роутер, что ли, подменяет порты? Или прокси-сервер есть?

dekar · 20.01.2016
Немного поразмыслил, и провёл элементарный эксперимент (который следовало уже давно провести) — обратился по HTTPS по адресам всех виртуальных хостов: https://e-dnk.ru, https://www.e-dnk.ru, https://ans.e-dnk.ru, https://ans.dekarus.synology.me. Везде открылся интерфейс Synology DSM (ответил системный экземпляр веб-сервера), между тем как у вас, согласно показанным в начале скриншотам, DSM настроена на стандартные порты 5000/5001, а судя по результатам вывода ps|grep httpd, у Web Station HTTPS отключено, и порт 443 она (то есть пользовательский экземпляр веб-сервера) даже не слушает. Отсюда вопрос: кто отвечает на 443 порту? У вас что, роутер, что ли, подменяет порты? Или прокси-сервер есть?

 

Да, на роутере настроено перенаправление портов таким образом:

80 на 80

5000-5005 на 5000-5005.

443 на 5001

Тимур Рахимов · 20.01.2016

Ага. Не, ну я догадливый, чо. Вот я позволил себе написать «вас порой трудно порой понять однозначно», так это очень слабо сказано, я ещё старался поделикатней донести мысль. Как догадаться, что слова «редиректит на HTTPS» означают перенаправление вообще на другой сайт, который должен отвечать по другому порту? Сколько я задавал уточняющих вопросов, только единицы из которых удостоились ответов, и то скупо, словно сквозь зубы? И только когда мы уже основательно увязли, всплывает важнейшая информация (точнее, я её вытащил клещами), которая, если бы была известна изначально, направила расследование по другому пути! Я тогда сразу бы сказал, что нечего мучить веб-сервер, он работает корректно, а перенаправление осуществляет клиент (браузеры в этом смысле оснащены таким «интеллектом», с которым порой нелегко справиться). То, что вы хотели сделать, я прекрасно понимаю, вам бы хотелось и доступ к сайту, и доступ к DSM осуществлять по стандартным http/https портам, используя различные имена на одном IP-адресе, да только делается это по-хорошему совсем другими средствами (ключевые слова reverse proxy server, обсуждалось уже в этом разделе, в том числе и с моим участием). Я, между прочим, прошёл той же дорогой что и вы, насшибав по дороге шишек, и если бы вы не скрывали важнейшую информацию (помните, я вас спрашивал в самом начале, чего вы хотите добиться?), то я бы вам сразу сказал, что избранный вами подход не годится, он имеет множество побочных нежелательных эффектов, один из которых как раз тот, что стал темой этого обсуждения (браузеры имеют свойство запоминать и воспроизводить редиректы, считая при этом, что http://xxx.xx и https://xxx.xx — это один и тот же сайт). В общем, я остался с ощущением того, что меня водили за нос и зря потратил своё время. Короче говоря, вам не перенаправление с подменой портов нужно, а прокси на серверной стороне вместо того, что наворотили (в комплекте Apache такой прокси-сервер есть, его только нужно настроить).

Тимур Рахимов · 20.01.2016

А в техподдержке Synology-то молодцы, правильно догадались.

Тимур Рахимов · 20.01.2016

В системном экземпляре веб-сервера (который обслуживает саму DSM) тоже выключите HSTS и сбросьте соответствующие флаги в браузере, ошибка пропадёт.

Siroc-co · 23.01.2016
Может, дело в настройках сервера и в самом сертификате? Пришлите адрес, пожалуйста, можно личным сообщением, я попробую открыть со своего телефона.

дело не знаю в чём, но на мобилах было это так:

http://i10.pixs.ru/storage/8/7/5/cuvJPG_7911987_20379875.jpg

А должно быть так:

http://i10.pixs.ru/storage/8/7/7/cukJPG_3655548_20379877.jpg

 

Не знаю, что там не так я сделал, но ковыряясь в настройках сертификатов, новых настройках, и эти настройки появились только в DSM 6 Beta2, я заметил эту штуку:

http://i10.pixs.ru/storage/9/1/8/sssllJPG_7094947_20379918.jpg

 

Да да! Теперь можно получить халявный заверенный сертификат в нашумевшем https://letsencrypt.org/

Для получения не нужно ничего знать, импортировать\генерировать\регистрироваться, просто заполняете три поля, и уже через 5 сек у меня в системе появился этот сертификат. Я его также быстро и легко привязал к нужным сервисам и домену (а теперь это можно сделать) и кинулся получать сертификаты для других своих доменов\поддоменов.

Шурави · 18.09.2017

Ничего не понял как там получить сертификат. Даже через панель управления в разделе СЕТЬ, добавить сертификат, выбрал letsencrypt, получил ошибку типа имя домена недопустимое :(

http://i12.pixs.ru/thumbs/7/6/2/certificat_8029211_27570762.jpg

http://i12.pixs.ru/thumbs/7/6/6/certificat_7671330_27570766.jpg

Пробовал еще на www.startcomca.com получил сертификаты на несколько систем. У меня NginxServer добавил сертификат в панель управления => сеть => сертификат

Надо ли делать запрос на его заверение?

и еще вопрос. как правильно сделать запрос на заверение сертификата? Прочитал хелп, но там как то все размыто. Не понял что написать в строку - общее имя

http://i12.pixs.ru/thumbs/7/9/5/zaprosnase_6218321_27570795.jpg

vik74 · 13.10.2017

Объясните (или дайте ссылку) как вообще настроить сертификат.

У меня соединение не защищенное.

http://s019.radikal.ru/i634/1710/f2/ef304f983d50.png

пробовал импортировать файл сертификата, получил файл archive (1).zip. И куда его девать?

Шурави · 13.10.2017
Объясните (или дайте ссылку) как вообще настроить сертификат.

У меня соединение не защищенное.

http://s019.radikal.ru/i634/1710/f2/ef304f983d50.png

пробовал импортировать файл сертификата, получил файл archive (1).zip. И куда его девать?

для начала распаковать, а потом скормить синолоджи.

vik74 · 13.10.2017
для начала распаковать, а потом скормить синолоджи.

 

Пришли такие файлы в архиве:

http://s010.radikal.ru/i312/1710/98/1ca6340130e7.png

 

Соноложи пишет не верный файл ключа. Который из них ключ?

SergeS · 14.10.2017
Объясните (или дайте ссылку) как вообще настроить сертификат.

У меня соединение не защищенное.

http://s019.radikal.ru/i634/1710/f2/ef304f983d50.png

пробовал импортировать файл сертификата, получил файл archive (1).zip. И куда его девать?

 

Судя по скриншоту - вы собираетесь устанавливать сертификат на внутренний айпи адрес (192.168.....)

Вам необходимо 1) сначала вывести ваш нас в интернет (пробросить порты при наличии белого айпи), и 2) потом озаботится доменным именем.

И только после этого есть смысл настраивать сертификат на вот это самое доменное имя.