Diese Frage habe ich vor einiger Zeit bereits in einem anderen Forum ähnlich gestellt und habe festgestellt, dass a) sie gerne nicht oder falsch verstanden wird und b) ich noch keine sinnvolle Antwort habe.
Situation: Das Intranet zuhause befindet sich hinter einer Fritzbox als DNS-Server. Geräte im Netzwerk melden sich bei der Fritzbox (DHCP-Server) an. Da diese den lokalen Geräten das Internet bereitstellt und beispielsweise Statistiken für einzelne Geräte anbietet, würde ich das gerne beibehalten. Es gibt noch mehr Fritzboxen im Intranet und mehrere Proxmox-Server in einem Cluster, das tut aber nichts zur Sache. Also sind einzelne Hosts im Intranet erreichbar beispielsweise unter rechner.fritz.box.
Das hat aber Nachteile, denn für fritz.box habe ich kein Zertifikat, um auf einen der Proxmox-Hosts im Intranet ohne Import eines Stammzertifikats (ja, ich habe mir eine CA erstellt und ein entsprechendes Zertifikat dazu) oder Ausnahmedefinition im Browser zuzugreifen.
Für eine Domain, die ich besitze, kann ich problemlos Zertifikate für beliebige Subdomains mit Wildcard generieren. Wenn ich also in meinem Intranet zuhause statt auf rechner.fritz.box zugreifen würde auf rechner.intranet.domain.tld (wobei domain.tld eine Domain ist, die ich verwalte), so könnte ich ein LE-Zertifikat für *.intranet.domain.tld auf allen Proxmox, Apache, sonstigen SSL-Diensten automatisiert verteilen und bräuchte nie mehr diese Ausnahme anklicken.
Problem: In der Fritzbox ist die Domain .fritz.box fest einkodiert. Ich bräuchte also im Intranet einen DNS-Server, der bei einer Anfrage nach rechner.intranet.domain.tld die Anfrage an die Fritzbox weitergibt, wobei er .intranet.domain.tld durch .fritz.box ersetzt, und das Ergebnis zurückliefert. Alle anderen DNS-Anfragen werden unmodifiziert an die Fritzbox weitergeleitet, die der DHCP-Server bleibt. Am besten mit einem Cache zur Beschleunigung. Wichtig ist mir, dass ich die Geräte, die sich bei der Fritzbox anmelden und die ich dort verwalte, nicht erneut eingeben/anmelden muss und sie direkt ohne weitere Aktionen unter rechner.intranet.domain.tld zur Verfügung stehen, sobald die Fritzbox sie kennt.
Geht sowas? Welche Alternativen oder anderen Ansätze gibt es dafür?