HTTPS شهادة للاستخدام الداخلي
https://stackoverflow.com/questions/616055
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
انا إعداد مزود الويب على النظام الذي يحتاج إلى أن تستخدم فقط عن طريق HTTPS ، الشبكة الداخلية (لا يمكن الوصول من خارج العالم)
الآن فهمت الإعداد مع شهادة موقعة ذاتيا, وأنه يعمل بشكل جيد ، باستثناء سيئة محذرا من أن جميع المتصفحات النار ، كما CA السلطة يوقع عليه هو بطبيعة الحال لا موثوق به.
يتم توفير الوصول إلى محلي اسم المجال DNS حل المحلية على ملقم DNS (على سبيل المثال: https://myapp.local/) أن خرائط عنوان 192.168.x.y
هناك بعض موفر يمكن المشكلة مني شهادة السليمة للاستخدام في داخلي اسم المجال (اسم التطبيق.المحلية)?أو هو الخيار الوحيد استخدام FQDN في مجال الحقيقي ، وبعد ذلك اعرض الخريطة المحلية عنوان IP ؟
ملاحظة:أود خيار حيث إنه لا حاجة إلى علامة الخادم المفتاح العام موثوق به على كل متصفح ، كما يجب عدم السيطرة على محطات العمل.
المحلول
فعلت التالية ، والتي عملت بشكل جيد بالنسبة لي:
حصلت على البدل SSL cert ل *.mydomain.com (Namecheap ، على سبيل المثال ، توفر هذا بثمن بخس) ،
أنا خلقت CNAME سجل DNS لافتا "mybox.mydomain.com" في "mybox.المحلية".
آمل أن يساعد - للأسف سيكون لديك حساب على البدل سيرت على اسم النطاق الخاص بك, ولكن قد يكون ذلك.
نصائح أخرى
لديك اثنين من الخيارات العملية:
الوقوف CA الخاصة بك.يمكنك أن تفعل ذلك مع بينسل و هناك الكثير من جوجل معلومات هناك.
الحفاظ على الخاص بك باستخدام موقعة ذاتيا cert ، ولكن إضافة المفتاح العمومي الخاص بك موثوق بها موتس في المتصفح.إذا كنت في مجال "Active Directory" ، وهذا يمكن القيام به تلقائيا مع "نهج المجموعة".
عليك أن تسأل نموذجية سيرت الناس على ذلك.لسهولة الاستخدام كنت تحصل مع FQDN على الرغم من أنك قد تستخدم فرعي الخاص بك مسجل مسبقا واحد: https://mybox.example.com
كما قد ترغب في النظر في البدل شهادات توفير بطانية cert ل (مثل) https://*.example.com/ - حتى للاستخدام الظاهري استضافة, ينبغي أن كنت بحاجة إلى أكثر من مجرد هذا cert.
التصديق الفرعية أو الفرعية النطاقات الفرعية من FQDN يجب أن يكون معيار الأعمال - ربما ليس من أجل نقطة&انقر فوق اللاعبين الكبار أن تفخر أنفسهم لتقديم شهادات في 2 دقيقة فقط.
باختصار:لجعل شهادة موثوق بها من قبل محطة عمل كنت قد إما
- تغيير الإعدادات على محطات العمل (ما لا تريد) أو
- استخدم بالفعل ثقة الطرف على التوقيع الخاص بك الرئيسية (التي كنت تبحث عن طريقة للتغلب).
هذا كل الخيارات الخاصة بك.اختر السم.
وأود أن أضيف هذا التعليق ولكن كان طويلا بعض الشيء..
هذا ليس حقا الإجابة على الأسئلة الخاصة بك ، ولكن في الواقع لقد وجدت أنه من غير المستحسن استخدام .المجال المحلي - حتى لو كان على "المحلية" اختبار البيئة الخاصة بك ملقم DNS.
أنا أعرف أن "Active Directory" يستخدم .الاسم المحلي بشكل افتراضي عند تثبيت DNS ، ولكن حتى الناس في مايكروسوفت يقول لتجنب ذلك.
إذا كان لديك السيطرة على ملقم DNS يمكنك استخدام .com, .net أو .org المجال - حتى لو كانت الداخلية والخاصة فقط.بهذه الطريقة, يمكنك فعلا شراء اسم النطاق الذي تستخدمه داخليا ومن ثم شراء شهادة أن اسم المجال وتطبيقه على المجال المحلي الخاص بك.
أعتقد أن الجواب هو لا.
الخروج من مربع ، المتصفحات لن تثق الشهادات إلا أنه في نهاية المطاف تم التحقق من قبل شخص مبرمجة مسبقا في المتصفح مثلاverisign ، register.com.
يمكنك فقط الحصول على شهادة التحقق بالنسبة الفريد من نوعه عالميا المجال.
لذا أقترح بدلا من اسم التطبيق.المحلية استخدام myapp.local.yourcompany.com التي يجب أن تكون قادرة على الحصول على الشهادة ، شريطة الخاصة yourcompany.com.سوف يكلفك الفكر عدة مئات في السنة.
كما حذر من أن يكون البدل شهادات قد تذهب فقط إلى أسفل على مستوى واحد-لذا يمكن استخدامه a.yourcompany.com و local.yourcompany.com ولكن ربما لا b.a.yourcompany.com أو myapp.local.yourcompany.com إلا إذا كنت تدفع أكثر من ذلك.
(لا أحد يعرف, لا تعتمد على نوع البدل الشهادة ؟ هي sub-sub-domains موثوق بها من قبل المتصفحات الرئيسية?)
