HTTPS-Zertifikat für den internen Gebrauch

StackOverflow https://stackoverflow.com/questions/616055

  •  03-07-2019
  •  | 
  •  

Frage

Ich gründe einen Webserver für ein System, das verwendet werden muss nur über HTTPS auf einem internes Netzwerk (keinen Zugriff von außen)

Im Moment habe ich es Setup mit einem selbstsignierten Zertifikat, und es funktioniert gut, mit Ausnahme von einer heftigen Warnung, dass alle Browser anwerfen, wie die CA Behörde zu unterzeichnen verwendet wird natürlich nicht vertrauenswürdig.

Der Zugriff wird durch einen lokalen DNS-Domänennamen auf lokalen DNS-Server (zB aufgelöst bereitgestellt: https: //myapp.local/ ), dass Karten, die Adresse 192.168.xy

Gibt es einen Anbieter, der mir eine richtige Zertifikat für die Verwendung auf einem internen Domänennamen ausgeben kann (myapp.local)? Oder ist meine einzige Option, um einen FQDN auf einer realen Domäne zu verwenden, und später wo es auf eine lokale IP-Adresse?

Hinweis . Ich würde eine Option gerne, wo es nicht gebraucht wird der Server den öffentlichen Schlüssel zu markieren, wie auf jedem Browser vertraut, da ich nicht über Arbeitsplätze Kontrolle haben

War es hilfreich?

Lösung

Ich habe folgendes, was gut für mich gearbeitet:

Ich habe ein Wildcard SSL-Zertifikat für * .mydomain.com (Namecheap zum Beispiel bieten diese billig)

Ich habe ein CNAME DNS Zeige "mybox.mydomain.com" at "mybox.local".

Ich hoffe, das hilft -. Leider haben Sie die Kosten ein Wildcard-Zertifikat für Ihre Domain-Namen haben, aber Sie können bereits, dass haben

Andere Tipps

Sie haben zwei praktische Optionen:

  1. Ihre eigene CA. Fastfood- Sie können es mit OpenSSL zu tun und es gibt eine Menge von Google Informationen gibt.

  2. Halten Sie Ihr selbst signiertes Zertifikat verwenden, sondern den öffentlichen Schlüssel zu Ihrem vertrauenswürdigen Zertifikat im Browser hinzufügen. Wenn Sie in einer Active Directory-Domäne sind, können diese automatisch mit Gruppenrichtlinien erfolgen.

würden Sie haben die typischen cert Menschen dafür fragen. Zur leichteren Verwendung ich aber mit dem FQDN bekommen würde, könnten Sie eine Sub-Domain zu Ihrer Verwendung bereits registriert ein: https: // mybox .example.com

Auch mögen Sie vielleicht bei Wildcard-Zertifikaten suchen, für eine Decke cert bieten (zB) https:. //*.Example.com/ - auch verwendbar für virtuelles Hosting, sollten Sie brauchen mehr als nur diese eine cert

Zertifizieren von Sub- oder Sub-Sub-Domänen von FQDN sollte Standardgeschäft sein -. Vielleicht nicht für die Point & Click große Jungs, die stolz mich in nur 2 Minuten die Zertifikate zur Verfügung zu stellen

Kurz gesagt: Um die cert von einer Workstation vertraut machen Sie haben würden entweder

  • Ändern von Einstellungen auf den Arbeitsplätzen (die Sie nicht wollen) oder
  • verwenden, um eine bereits vertrauenswürdige Partei Ihren Schlüssel zu unterzeichnen (die Sie nach einem Weg suchen, um).

Das ist alle Ihre Wahl. Wählen Sie Ihr Gift.

Ich würde dies als Kommentar hinzugefügt hat, aber es ist lange ein bisschen ..

Das ist nicht wirklich eine Antwort auf Ihre Fragen, aber in der Praxis habe ich festgestellt, dass es nicht eine .local Domäne zu verwenden werden empfohlen - auch wenn es mit Ihrem eigenen DNS-Server auf den „lokale“ Testumgebung ist.

Ich weiß, dass Active Directory verwendet den .local Namen standardmäßig, wenn Sie Ihre DNS installieren, aber auch Menschen, bei Microsoft sagen, es zu vermeiden.

Wenn Sie die Kontrolle über die DNS-Server können Sie eine .com verwenden, .net oder .org Domain - auch wenn es interne und privat ist nur. Auf diese Weise könnte man tatsächlich den Domain-Namen kaufen, die Sie intern und dann kaufen ein Zertifikat für diese Domain-Namen und wenden Sie es auf Ihrer lokalen Domäne verwendet wird.

Ich denke, die Antwort ist nein.

out-of-the-box, Browser wird keine Zertifikate vertrauen, wenn es schließlich von jemandem vorprogrammierter in den Browser überprüft worden ist, z.B. verisign, register.com.

Sie können nur ein geprüftes Zertifikat für eine weltweit einzigartige Domain.

so würde ich vorschlagen, statt myapp.local Sie verwenden myapp.local.yourcompany.com, für die sollte es möglich sein, ein Zertifikat zu erhalten, vorausgesetzt, Sie besitzen yourcompany.com. es wird kosten Sie dachten, mehrere hundert pro Jahr.

auch nur auf eine Ebene nach unten gehen könnten Wildcard-Zertifikate gewarnt werden - so könnte man es verwenden für a.yourcompany.com und local.yourcompany.com aber vielleicht nicht bayourcompany.com oder myapp.local.yourcompany.com, es sei denn, Sie zahlen mehr.

(weiß jemand, ist es von der Art der Wildcard-Zertifikat ab? Sind Sub-Sub-Domänen von den gängigen Browsern vertraut?)

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top