HTTPS-сертификат для внутреннего использования.
-
03-07-2019 - |
Вопрос
Я настраиваю веб-сервер для системы, которую нужно использовать. только через HTTPS, на внутренняя сеть (нет доступа из внешнего мира)
Прямо сейчас я настроил его с самозаверяющим сертификатом, и он работает нормально, за исключением неприятного предупреждения о том, что все браузеры запускаются, поскольку центр сертификации, используемый для его подписания, естественно, не является доверенным.
Доступ обеспечивается локальным доменным именем DNS, разрешенным на локальном DNS-сервере (пример: https://myapp.local/), который сопоставляет этот адрес с 192.168.xy
Есть ли какой-нибудь провайдер, который может выдать мне подходящий сертификат для использования во внутреннем доменном имени (myapp.local)?Или мой единственный вариант — использовать полное доменное имя в реальном домене, а затем сопоставить его с локальным IP-адресом?
Примечание:Мне нужен вариант, при котором не нужно помечать открытый ключ сервера как доверенный в каждом браузере, поскольку я не контролирую рабочие станции.
Решение
Я сделал следующее, что сработало для меня:
Я получил сертификат SSL с подстановочным знаком для * .mydomain.com (например, Namecheap, предоставьте это дешево)
Я создал DNS-запись CNAME, указывающую на "mybox.mydomain.com" " на " mybox.local ".
Надеюсь, это поможет - к сожалению, у вас будут расходы на сертификат подстановочного знака для вашего доменного имени, но у вас это может уже быть.
Другие советы
У вас есть два практических варианта:
<Ол>Поддержите свой собственный CA. Вы можете сделать это с OpenSSL, и там много информации от Google.
Продолжайте использовать самоподписанный сертификат, но добавьте открытый ключ в список доверенных сертификатов в браузере. Если вы находитесь в домене Active Directory, это можно сделать автоматически с помощью групповой политики.
Вам придется спросить об этом типичных сертифицированных специалистов.Однако для простоты использования я бы выбрал полное доменное имя, вы можете использовать поддомен к уже зарегистрированному: https://mybox.example.com
Также вы можете просмотреть сертификаты с подстановочными знаками, предоставляющие общий сертификат для (например) https://*.example.com/, который можно использовать даже для виртуального хостинга, если вам понадобится больше, чем просто этот сертификат.
Сертификация суб- или суб-доменов полного доменного имени должен быть стандартным бизнесом - возможно, не для больших парней point&click, которые гордятся тем, что предоставляют сертификаты всего за 2 минуты.
Суммируя:Чтобы сделать сертификат доверенным для рабочей станции, вам необходимо либо
- изменить настройки на рабочих станциях (что вам не нужно) или
- используйте уже доверенную сторону для подписания вашего ключа (что вы ищете способ обойти).
Это все ваш выбор.Выберите свой яд.
Я бы добавил это как комментарий, но это было немного длиннее ..
Это не совсем ответ на ваши вопросы, но на практике я обнаружил, что не рекомендуется использовать домен .local, даже если он находится на вашем " локальном " среда тестирования, с вашим собственным DNS-сервером. Р>
Я знаю, что Active Directory по умолчанию использует имя .local при установке DNS, но даже сотрудники Microsoft говорят, что этого следует избегать.
Если у вас есть контроль над DNS-сервером, вы можете использовать домен .com, .net или .org - даже если он только внутренний и частный. Таким образом, вы можете фактически купить доменное имя, которое вы используете внутри, а затем купить сертификат для этого доменного имени и применить его к своему локальному домену.
я думаю, что ответ НЕТ.
«из коробки» браузеры не будут доверять сертификатам, если они не были окончательно проверены кем-то, предварительно запрограммированным в браузере, например, verisign, register.com.
вы можете получить только проверенный сертификат для уникального домена.
, поэтому я бы предложил вместо myapp.local использовать myapp.local.yourcompany.com, для которого вы сможете получить сертификат, если у вас есть yourcompany.com. это будет стоить вам несколько сотен в год.
также предупреждаем, что подстановочные сертификаты могут переходить только на один уровень - так что вы можете использовать их для a.yourcompany.com и local.yourcompany.com, но, возможно, не bayourcompany.com или myapp.local.yourcompany.com, если вы не заплатите больше.
(кто-нибудь знает, зависит ли это от типа сертификата с подстановочными знаками? доверяют ли субдоменам основные браузеры?)