質問
内部ネットワーク(外部からのアクセスなし)で、HTTPSを介してのみ使用する必要があるシステムにWebサーバーをセットアップしています
>今、自己署名証明書でセットアップしました。すべてのブラウザが起動するという厄介な警告を除き、正常に動作します。署名に使用したCA機関は当然信頼されていません。
アクセスは、ローカルDNSサーバーで解決されたローカルDNSドメイン名によって提供されます(例: https://myapp.local/ )、そのアドレスを192.168.xyにマップします
内部ドメイン名(myapp.local)で使用する適切な証明書を発行できるプロバイダーはありますか?または、実ドメインでFQDNを使用し、後でそれをローカルIPアドレスにマップする唯一のオプションですか?
注:ワークステーションを制御していないため、各ブラウザーでサーバー公開キーを信頼済みとしてマークする必要がないオプションが必要です。
解決
次のことを行いましたが、うまくいきました。
*。mydomain.comのワイルドカードSSL証明書を取得しました(たとえば、Namecheapはこれを安く提供しています)
「mybox.mydomain.com」を指すCNAME DNSレコードを作成しました。 " mybox.local"で。
これがお役に立てば幸いです-残念ながら、ドメイン名にワイルドカード証明書が必要になりますが、既にお持ちかもしれません。
他のヒント
2つの実用的なオプションがあります:
-
独自のCAを立ち上げます。 OpenSSLでそれを行うことができ、そこには多くのGoogle情報があります。
-
自己署名証明書を使用し続けますが、ブラウザで信頼できる証明書に公開鍵を追加します。 Active Directoryドメインを使用している場合、これはグループポリシーを使用して自動的に実行できます。
一般的な証明書の担当者に依頼する必要があります。ただし、FQDNを使用して簡単に使用できるように、既に登録されているサブドメインのサブドメインを使用できます。 https:// mybox .example.com
また、(たとえば)https://*.example.com/のブランケット証明書を提供するワイルドカード証明書を確認することもできます。この1つ以上の証明書が必要な場合は、仮想ホスティングにも使用できます。
FQDNのサブドメインまたはサブサブドメインの認証は標準的なビジネスであるべきです -たぶんわずか2分で証明書を提供できることを誇りに思っている大物をクリックしないでください。
簡単に言うと、ワークステーションから証明書を信頼するには、次のいずれかを行う必要があります
- ワークステーションの設定を変更する(必要ない)または
- すでに信頼されている関係者を使用してキーに署名します(これを回避する方法を探しています)。
これが選択ですすべて。毒を選択してください。
これをコメントとして追加しますが、少し長かったです。
これは実際にはあなたの質問に対する答えではありませんが、実際には.localドメインを使用することはお勧めできません。独自のDNSサーバーを使用したテスト環境。
DNSをインストールするときにActive Directoryがデフォルトで.local名を使用することは知っていますが、Microsoftの人でさえ、それを避けるように言っています。
DNSサーバーを制御できる場合は、.com、.net、または.orgドメインを使用できます(内部およびプライベートのみの場合でも)。この方法では、実際に内部で使用しているドメイン名を購入し、そのドメイン名の証明書を購入してローカルドメインに適用できます。
答えはNOだと思います。
デフォルトでは、ブラウザは、ブラウザに事前にプログラムされた誰かによって最終的に検証されない限り、証明書を信頼しません。 verisign、register.com。
グローバルに一意のドメインの検証済み証明書のみを取得できます。
myapp.localの代わりにmyapp.local.yourcompany.comを使用することをお勧めします。myapp.local.yourcompany.comを所有していれば、証明書を取得できます。 1年に数百、考えていた費用がかかります。
また、ワイルドカード証明書は1レベルまでしか下がらない可能性があるため、a.yourcompany.comおよびlocal.yourcompany.comで使用できますが、bayourcompany.comまたはmyapp.local.yourcompany.comでは使用できない場合があります。あなたがもっと払わない限り。
(誰でも知っていますか、ワイルドカード証明書の種類に依存しますか?サブブラウザは主要なブラウザによって信頼されていますか?)