Certificado HTTPS para uso interno.
https://stackoverflow.com/questions/616055
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy configurando un servidor web para un sistema que debe usarse solo a través de HTTPS, en una red interna (sin acceso desde el mundo exterior)
En este momento lo configuré con un certificado autofirmado, y funciona bien, excepto por una desagradable advertencia de que todos los navegadores se activan, ya que la autoridad de CA que solía firmar no es de confianza.
El acceso es proporcionado por un nombre de dominio DNS local resuelto en el servidor DNS local (ejemplo: https: //myapp.local/ ), que asigna esa dirección a 192.168.xy
¿Hay algún proveedor que pueda emitirme un certificado adecuado para usar en un nombre de dominio interno (myapp.local)? ¿O es mi única opción usar un FQDN en un dominio real y luego asignarlo a una dirección IP local?
Nota : me gustaría una opción donde no sea necesario marcar la clave pública del servidor como confiable en cada navegador, ya que no tengo control sobre las estaciones de trabajo.
Solución
Hice lo siguiente, que funcionó muy bien para mí:
Obtuve un certificado SSL comodín para * .mydomain.com (Namecheap, por ejemplo, proporcione esto a bajo precio)
Creé un registro DNS CNAME apuntando a " mybox.mydomain.com " en "mybox.local".
Espero que te ayude, desafortunadamente tendrás el costo de un certificado de comodín para tu nombre de dominio, pero es posible que ya lo tengas.
Otros consejos
Tienes dos opciones prácticas:
-
Levanta tu propia CA. Puedes hacerlo con OpenSSL y hay mucha información de Google ahí fuera.
-
Siga usando su certificado autofirmado, pero agregue la clave pública a sus certificados de confianza en el navegador. Si está en un dominio de Active Directory, esto se puede hacer automáticamente con la política de grupo.
Tendrías que preguntarle a la gente típica del certificado para eso. Sin embargo, para facilitar el uso que obtendría con el FQDN, puede usar un subdominio para su ya registrado: https: // mybox .example.com
También es posible que desee ver los certificados comodín, que proporcionan un certificado general para (por ejemplo) https: //*.example.com/, incluso utilizable para alojamiento virtual, en caso de que necesite algo más que este certificado.
La certificación de subdominios sub o sub-sub de FQDN debería ser un negocio estándar, tal vez no para el punto y hacer clic en los grandes que se enorgullecen de proporcionar los certificados en solo 2 minutos.
En resumen: para hacer que el certificado sea confiable para una estación de trabajo, deberá
- cambiar la configuración en las estaciones de trabajo (que no desea) o
- use una parte que ya sea de confianza para firmar su clave (que está buscando una forma de evitar).
Eso es todas tus elecciones. Elige tu veneno.
Hubiera agregado esto como un comentario pero fue un poco largo ...
Esto no es realmente una respuesta a sus preguntas, pero en la práctica he encontrado que no se recomienda usar un dominio .local, incluso si está en su " local " entorno de prueba, con su propio servidor DNS.
Sé que Active Directory usa el nombre .local de manera predeterminada cuando instala DNS, pero incluso las personas de Microsoft dicen que lo eviten.
Si tiene control sobre el Servidor DNS, puede usar un dominio .com, .net o .org, incluso si es solo interno y privado. De esta manera, podría comprar el nombre de dominio que está utilizando internamente y luego comprar un certificado para ese nombre de dominio y aplicarlo a su dominio local.
creo que la respuesta es NO.
Fuera de la caja, los navegadores no confiarán en los certificados a menos que finalmente haya sido verificado por alguien preprogramado en el navegador, por ejemplo. verisign, register.com.solo puede obtener un certificado verificado para un dominio único globalmente.
por lo que sugeriría que, en lugar de myapp.local, use myapp.local.yourcompany.com, para lo cual debería poder obtener un certificado, siempre que sea el propietario de yourcompany.com. te costará, varios cientos por año.
también se advierte que los certificados comodín solo pueden descender a un nivel, por lo que puede usarlo para a.yourcompany.com y local.yourcompany.com pero quizás no para bayourcompany.com o myapp.local.yourcompany.com, a menos que pague más.
(¿Alguien lo sabe, depende del tipo de certificado de comodín? ¿Los sub-subdominios son de confianza para los principales navegadores?)
