Ох, это вопрос не простой и ответ на него будет длинный.
У нас есть wildcard сертификат, который покрывает все доменные имена в зоне *.vpnki.ru
То есть туда попадет и ваш кактус и msk. Однако не все дело в сертификате.
В случае развертывания web сервера можно использовать оба варианта, однако произойдет следующее:
1. В случае публикации URL ваш домен будет защищен сертификатом vpnki, но могут возникнуть сложности с контентом сайта - ведь публикация URL это не прозрачный проброс порта, а переписывание заголовков в IP пакетах. Именно это имелось ввиду в FAQ. Некоторый контент сервера может не пережить переписывание заголовков и в итоге пользователь получит полурабочую страницу веб-сервера. Этим грешат какие-нибудь китайские видеокамеры или регистраторы с криво написанными javascript. Если выбирать этот путь, то имеет смысл сначала убедиться что ваш сайт корректно будет работать с такой технологией.
2. В случае использования проброса порта ситуация будет другой. Ваши пользователи должны будут подключаться к адресу
msk.vpnki.ru: <номер порта> , но будут ли они это делать? Обратите внимание - не https, а именно http. https там быть не может по причине использования другой технологии в отличии от п.1. В п.1 происходит терминация пользовательского трафика на сервере и поэтому можно разгрузить ssl, а в истории с пробросом tcp поток пробрасывается почти прозрачно до пользовательского устройства и серверу ничего не знает о потоке TCP. Там может быть ваш https, а может быть RDP, ssh и другие протоколы. Поэтому серверный сертификат тут не поможет и поэтому снаружи доступ возможен по http.
В этой истории есть еще одна проблема - некорректная работа браузеров, но об этом не сейчас.
В общем, этот вариант вам не подходит так как нет https
3. Вариант с публикацией домена 2-го уровня. Допустим у вас есть доменное имя (платное или бесплатное - не важно). Вы можете получить на него сертификат. Далее, используя услугу Публикация домена 2-го уровня мы можем разместить ваш сертификат на сервере VPNKI. В этом случае трафик от пользователя до сервера VPNKI будет защищен вашим сертификатом, а трафик внутри вашего VPN туннеля уже не имеет особенного смысла защищать сертификатами.
Этот вариант вполне работает, но по технологии он такой же как и п.1. То есть сначала нужно убедиться, что сам сайт корректно работает с публикацией URL
4. Четвертый вопрос это файл robots.txt вашего сайта. Если вы хотите, чтобы ваш сайт находился в поисковых системах, то необходимо, чтобы этот файл был доступен для поисковых роботов. Сейчас, по умолчанию, ресурсы, опубликованные через Публикацию URL не обнаруживаются поисковыми системами и доступ к robots.txt снаужи закрыт. Это сделано специально, так как многие системы умных домов далеки от безопасных продуктов и через поисковые системы хакеры вполне быстро узнают о наличии таких ресурсов.
Однако, если вы захотите, чтобы ваш веб-сервер находился поисковыми роботами, то сообщите нам об этом и дадим доступ к robots.txt
Этот пункт, конечно, относится к вариантам Публикации URL и Публикации домена 2-го уровня.
В случае проброса порта файл robots.txt будет доступен для поисковых роботов.
