Certificat HTTPS pour usage interne
https://stackoverflow.com/questions/616055
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis en train de configurer un serveur Web pour un système devant être utilisé uniquement via HTTPS, sur un réseau interne (aucun accès depuis le monde extérieur)
À l’heure actuelle, je l’ai configuré avec un certificat auto-signé et tout fonctionne correctement, sauf un avertissement désagréable selon lequel tous les navigateurs s’allument, l’autorité de certification utilisée pour le signer n’étant naturellement pas fiable.
L'accès est fourni par un nom de domaine DNS local résolu sur le serveur DNS local (exemple: https: //myapp.local/ ), qui mappe cette adresse sur 192.168.xy
Y at-il un fournisseur qui peut me délivrer un certificat approprié pour une utilisation sur un nom de domaine interne (myapp.local)? Ou est-ce que ma seule option est d’utiliser un nom de domaine complet sur un domaine réel, puis de le mapper sur une adresse IP locale?
Remarque : je voudrais une option dans laquelle il n'est pas nécessaire de marquer la clé publique du serveur comme étant approuvée sur chaque navigateur, car je n'ai pas le contrôle sur les stations de travail.
La solution
J'ai fait ce qui suit, ce qui a bien fonctionné pour moi:
J'ai reçu un certificat SSL générique pour * .mondomaine.com (Namecheap, par exemple, fournit ceci à moindre coût)
J'ai créé un enregistrement DNS CNAME pointant sur "mybox.mydomain.com". sur "mybox.local".
J'espère que cela vous aidera. Malheureusement, vous aurez les frais d'un certificat générique pour votre nom de domaine, mais vous l'avez peut-être déjà.
Autres conseils
Vous avez deux options pratiques:
-
Lancez votre propre autorité de certification. Vous pouvez le faire avec OpenSSL et il y a beaucoup d’informations Google.
-
Continuez à utiliser votre certificat auto-signé, mais ajoutez la clé publique à vos certificats de confiance dans le navigateur. Si vous êtes dans un domaine Active Directory, cela peut être fait automatiquement avec la stratégie de groupe.
Vous devriez demander cela aux gens du CERT typiques. Pour faciliter l’utilisation du nom de domaine complet, vous pouvez utiliser un sous-domaine déjà enregistré: https: // mybox .example.com
Vous pouvez également consulter les certificats génériques, en fournissant un certificat général pour (par exemple) https: //*.exemple.com/ - même utilisable pour l'hébergement virtuel, si vous avez besoin de plus que ce seul certificat.
La certification des sous-sous-sous-sous-domaines du nom de domaine complet doit être standard - peut-être pas pour les gros pointeurs qui sont fiers de fournir les certificats en seulement 2 minutes.
En bref: pour que le certificat soit approuvé par un poste de travail, vous devez soit
- modifier les paramètres sur les postes de travail (ce que vous ne voulez pas) ou
- utilisez une partie déjà de confiance pour signer votre clé (que vous cherchez à contourner).
C'est tous vos choix. Choisissez votre poison.
J'aurais ajouté ceci comme commentaire, mais c'était un peu long.
Ceci n’est pas vraiment une réponse à vos questions, mais dans la pratique, j’ai trouvé qu’il n’était pas recommandé d’utiliser un domaine .local, même s’il se trouve sur votre emplacement "local". environnement de test, avec votre propre serveur DNS.
Je sais qu'Active Directory utilise le nom .local par défaut lors de l'installation du DNS, mais même les gens de Microsoft disent qu'il faut l'éviter.
Si vous avez le contrôle sur le serveur DNS, vous pouvez utiliser un domaine .com, .net ou .org, même s'il est interne et privé. De cette façon, vous pouvez réellement acheter le nom de domaine que vous utilisez en interne, puis acheter un certificat pour ce nom de domaine et l'appliquer à votre domaine local.
Je pense que la réponse est non.
prêts à être utilisés, les navigateurs ne font pas confiance aux certificats, à moins que ceux-ci aient finalement été vérifiés par une personne préprogrammée dans le navigateur, par exemple. verisign, register.com.
vous ne pouvez obtenir un certificat vérifié que pour un domaine unique au monde.
Je vous suggère donc d'utiliser myapp.local.votreentreprise.com au lieu de myapp.local, pour lequel vous devriez pouvoir obtenir un certificat, à condition que vous possédiez yourcompany.com. ça vous coûtera plusieurs centaines par an.
soyez également averti que les certificats génériques peuvent ne descendre qu'à un niveau - vous pouvez donc l'utiliser pour a.votreentreprise.com et local.votreentreprise.com mais peut-être pas bayourcompany.com ou myapp.local.votreentreprise.net, sauf si vous payez plus.
(Est-ce que quelqu'un sait, cela dépend-il du type de certificat générique? Les sous-sous-domaines sont-ils approuvés par les principaux navigateurs?)
