Certificato HTTPS per uso interno
https://stackoverflow.com/questions/616055
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto configurando un server web per un sistema che deve essere utilizzato solo tramite HTTPS, su una rete interna (nessun accesso dall'esterno)
Al momento l'ho installato con un certificato autofirmato, e funziona benissimo, tranne per un brutto avvertimento che tutti i browser si accendono, dato che l'autorità CA utilizzata per firmarlo non è naturalmente attendibile.
L'accesso è fornito da un nome di dominio DNS locale risolto sul server DNS locale (esempio: https: //myapp.local/ ), che mappa tale indirizzo a 192.168.xy
Esiste un provider che può rilasciarmi un certificato adeguato per l'uso su un nome di dominio interno (myapp.local)? O è la mia unica opzione per utilizzare un nome di dominio completo su un dominio reale e successivamente mapparlo a un indirizzo IP locale?
Nota : vorrei un'opzione in cui non è necessario contrassegnare la chiave pubblica del server come attendibile su ciascun browser, poiché non ho il controllo sulle workstation.
Soluzione
Ho fatto quanto segue, che ha funzionato bene per me:
Ho ricevuto un certificato SSL jolly per * .mydomain.com (Namecheap, ad esempio, lo fornisce a buon mercato)
Ho creato un record DNS CNAME che punta " mybox.mydomain.com " su " mybox.local " ;.
Spero che sia di aiuto - sfortunatamente avrai il costo di un certificato jolly per il tuo nome di dominio, ma potresti già averlo.
Altri suggerimenti
Hai due opzioni pratiche:
-
Metti in piedi la tua CA. Puoi farlo con OpenSSL e ci sono molte informazioni di Google là fuori.
-
Continua a utilizzare il tuo certificato autofirmato, ma aggiungi la chiave pubblica ai certificati attendibili nel browser. Se ti trovi in ??un dominio Active Directory, puoi farlo automaticamente con i criteri di gruppo.
Dovresti chiederlo alla gente tipica dei cert. Per facilità d'uso, però, con il nome di dominio completo (FQDN), potresti utilizzare un sottodominio a quello già registrato: https: // mybox .example.com
Inoltre, potresti voler esaminare i certificati con caratteri jolly, fornendo un certificato generale per (ad esempio) https: //*.example.com/ - persino utilizzabile per l'hosting virtuale, nel caso in cui tu abbia bisogno di qualcosa in più di questo solo certificato.
La certificazione di domini secondari o secondari di FQDN dovrebbe essere un affare standard - forse non per il punto e fare clic su big guy che si vantano di procurarsi i certificati in soli 2 minuti.
In breve: per rendere attendibile il certificato da una workstation dovresti
- modifica le impostazioni sulle workstation (che non vuoi) o
- usa una parte già attendibile per firmare la tua chiave (che stai cercando per aggirare).
Queste sono tutte le tue scelte. Scegli il tuo veleno.
Avrei aggiunto questo come commento ma era un po 'lungo ..
Questa non è davvero una risposta alle tue domande, ma in pratica ho scoperto che non è consigliabile utilizzare un dominio .local, anche se si trova sul tuo " local " ambiente di test, con il proprio server DNS.
So che Active Directory utilizza il nome .local per impostazione predefinita quando installi il DNS, ma anche le persone di Microsoft dicono di evitarlo.
Se hai il controllo sul server DNS puoi usare un dominio .com, .net o .org, anche se solo interno e privato. In questo modo, potresti effettivamente acquistare il nome di dominio che stai utilizzando internamente, quindi acquistare un certificato per quel nome di dominio e applicarlo al tuo dominio locale.
Penso che la risposta sia NO.
out-of-the-box, i browser non si fideranno dei certificati a meno che non sia stato verificato da qualcuno preprogrammato nel browser, ad es. verisign, register.com.
puoi ottenere solo un certificato verificato per un dominio univoco globale.
quindi suggerirei invece di myapp.local di utilizzare myapp.local.yourcompany.com, per il quale dovresti essere in grado di ottenere un certificato, a condizione che tu sia il proprietario di company.com. ti costerà, diverse centinaia all'anno.
ti avvisiamo inoltre che i certificati con caratteri jolly potrebbero scendere solo a un livello, quindi potresti usarlo per a.yourcompany.com e local.yourcompany.com ma forse non bayourcompany.com o myapp.local.yourcompany.com, a meno che tu non paghi di più.
(qualcuno lo sa, dipende dal tipo di certificato jolly? i sottodomini sono considerati affidabili dai principali browser?)
