Certificado de HTTPS para utilização interna
estou a criar um servidor web para um sistema que precisa de ser usado apenas através dos HTTPS, numa rede interna (sem acesso do mundo exterior)
Neste momento, arranjei-o com um certificado autossignado, e funciona bem, excepto um aviso desagradável que todos os navegadores ligam, porque a autoridade da CA costumava assinar que não era de confiança.o acesso é fornecido por um nome de domínio DNS local resolvido no servidor DNS local (exemplo: https://myapp.local / , que mapeia o endereço para 192.168.x. y
Existe algum fornecedor que me possa emitir um certificado adequado para uso num nome de domínio interno (myapp.local)? Ou minha única opção é usar um FQDN em um domínio real, e depois mapeá-lo para um endereço IP local?
Nota : gostaria de uma opção onde não seja necessário marcar a chave pública do servidor como confiável em cada navegador, uma vez que não tenho controle sobre estações de trabalho.
5 answers
Criei um registo DNS do nome CNS a apontar "mybox.mydomain.com "at" mybox.local".
Espero que isso ajude - infelizmente você terá a despesa de um certificado de wildcard para o seu nome de domínio, mas você já pode ter isso.
Tem duas opções práticas:
Levanta o teu próprio CA. Você pode fazê-lo com o OpenSSL e há um monte de Informações do Google por aí.
Continue a usar o seu certificado autossignado, mas adicione a chave pública ao seu certificado de confiança no navegador. Se você está em um domínio de Diretório Ativo, isso pode ser feito automaticamente com a Política de grupo.
Também pode querer ver os certificados de caracteres especiais, fornecendo um certificado geral para (por exemplo) https://*.example.com/ - mesmo utilizável para hospedagem virtual, você deve precisar de mais do que apenas este cert.
A certificação de sub ou sub - domínios da FQDN deve ser normalizada negócios-talvez não para o point&click big guys que se orgulham de fornecer os certificados em apenas 2 minutos.
Em resumo, para que o cert seja confiado por uma estação de trabalho, é preciso:- mudar a configuração dos postos de trabalho (que não quer) ou
- use uma parte já de confiança para assinar a sua chave (que você está procurando uma maneira de contornar).
teria acrescentado isto como comentário, mas foi um pouco longo..
Isto não é realmente uma resposta às suas perguntas, mas na prática descobri que não é recomendado usar um.domínio local-mesmo que esteja no seu ambiente de testes" local", com o seu próprio servidor de DNS.Eu sei que o directório activo usa o .nome local por padrão quando o seu instalar DNS, mas mesmo as pessoas na Microsoft dizem para evitá-lo.
Se tem controlo sobre o servidor DNS, pode use um domínio .com,. NET ou. org - mesmo que seja interno e privado. Desta forma, você poderia realmente comprar o nome de domínio que você está usando internamente e, em seguida, comprar um certificado para esse nome de domínio e aplicá-lo ao seu domínio local.
Só pode obter um certificado verificado para um domínio único globalmente.
Por isso, sugiro em vez de myapp.local de Utilização myapp.local.yourcompany.com, para o qual você deve ser capaz de obter um certificado, desde que você próprio yourcompany.com vai custar-te pensar, vários cem por ano.Também ser avisado certificados curinga pode apenas ir para baixo para um nível -- então você pode usá-lo para a.yourcompany.com e local.yourcompany.com mas talvez não b.a.yourcompany.com ou myapp.local.yourcompany.com, a menos que você pagar mais.
(Alguém sabe se depende do tipo de certificado de caracteres especiais? os sub-domínios são de confiança dos principais navegadores?)