Certificado HTTPS para uso interno
https://stackoverflow.com/questions/616055
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu sou a criação de um servidor web para um sistema que precisa ser usado única através de HTTPS, em uma rede interna (sem acesso de mundo exterior)
Agora eu tenho que configurar com um certificado auto-assinado, e ele funciona muito bem, com exceção de um aviso desagradável que todos os navegadores fogo até, como a autoridade CA usada para assiná-lo, naturalmente, não é confiável.
O acesso é fornecido por um nome de domínio DNS local resolvido no servidor DNS local (exemplo: https: //myapp.local/ ), que mapeia esse endereço para 192.168.xy
Existe algum fornecedor que pode me emitir um certificado adequado para uso em um nome de domínio interno (myapp.local)? Ou é a minha única opção de usar um FQDN em um domínio real, e depois mapeá-lo para um endereço IP local?
Nota :. Gostaria de ter uma opção onde não é necessário para marcar a chave pública do servidor como confiável em cada navegador, como eu não tem controle sobre as estações de trabalho
Solução
Eu fiz o seguinte, que funcionou muito bem para mim:
Eu tenho um certificado SSL curinga para * .meudominio.com (Namecheap, por exemplo, fornecer essa barata)
Eu criei um apontador registro CNAME DNS "mybox.mydomain.com" at "mybox.local".
Espero que ajude -. Infelizmente você vai ter a despesa de um cert curinga para o seu nome de domínio, mas você já pode ter que
Outras dicas
Você tem duas opções práticas:
-
Stand up seu próprio CA. Você pode fazê-lo com OpenSSL e há um monte de informações Google lá fora.
-
Continue usando o seu cert auto-assinado, mas adicionar a chave pública para os seus certificados confiáveis ??no navegador. Se você estiver em um domínio do Active Directory, isso pode ser feito automaticamente com a política de grupo.
Você teria que perguntar ao povo típicos cert para isso. Para facilidade de uso eu ia ficar com o FQDN, porém, que você pode usar um subdomínio para o seu já registrado um: https: // mybox .example.com
Além disso, você pode querer olhar para certificados curinga, fornecendo uma cert cobertor para (por exemplo) https:. //*.Example.com/ - mesmo utilizável para hospedagem virtual, você deve precisar de mais do que apenas este cert
Certificação sub ou sub-sub-domínios de FQDN deve ser um negócio padrão -. Talvez não para o point & click grandes caras que orgulha-se a fornecer os certificados em apenas 2 minutos
Em resumo: Para fazer o cert a confiança de uma estação de trabalho que você tem que quer
- Alterar configurações nas estações de trabalho (que você não quer) ou
- usar um partido já confiável para assinar sua chave (que você está procurando uma maneira de contornar).
Isso é todas suas escolhas. Escolha o seu veneno.
eu teria adicionado este como um comentário, mas foi um pouco longa ..
Isto não é realmente uma resposta às suas perguntas, mas na prática eu descobri que não é recomendado o uso de um domínio .local - mesmo que seja em seu ambiente de teste "local", com seu próprio DNS Server.
Eu sei que o Active Directory usa o nome .local por padrão quando o seu instalar o DNS, mas mesmo as pessoas na Microsoft diz para evitá-lo.
Se você tem controle sobre o servidor DNS que você pode usar um domínio .com, .net ou .org - mesmo que seja interna e só privado. Dessa forma, você pode realmente comprar o nome de domínio que você está usando internamente e depois comprar um certificado para esse nome de domínio e aplicá-lo ao seu domínio local.
eu acho que a resposta é NÃO.
out-of-the-box, os navegadores não vai certificados de confiança a menos que seja em última análise, foi verificado por alguém pré-programado no navegador, por exemplo, VeriSign, register.com.
você só pode obter um certificado verificada para um domínio exclusivo global.
então eu sugiro que em vez de myapp.local você usa myapp.local.yourcompany.com, para o qual você deve ser capaz de obter um certificado, desde que você possui yourcompany.com. ele vai custar pensei, várias centenas por ano.
também ser avisado certificados curinga só poderia ir até um nível - para que você possa usá-lo para a.yourcompany.com e local.yourcompany.com mas talvez não bayourcompany.com ou myapp.local.yourcompany.com, a menos que você pagar mais.
(Alguém sabe, isso depende do tipo de certificado curinga? São sub-sub-domínios de confiança pelos principais navegadores?)
