Certificat HTTPS pour une utilisation interne
Je suis la mise en place d'un serveur web pour un système qui doit être utilisé seulement via HTTPS, sur un réseau interne (pas d'accès à partir de l'extérieur du monde)
Droit maintenant, je l'ai eu le programme d'installation avec un certificat auto-signé, et il fonctionne très bien, sauf pour un méchant avertissement que tous les navigateurs feu, comme l'autorité de certification utilisé pour signer il n'est naturellement pas confiance.
L'accès est fourni par un nom de domaine DNS résolu sur le serveur DNS local (exemple: https://myapp.local/), que les cartes que l'adresse 192.168.x.y
Est-il un fournisseur qui peut me délivrer un bon certificat pour une utilisation sur un nom de domaine interne (myapp.local)? Ou est ma seule option pour utiliser un nom de domaine complet sur un vrai nom de domaine, et plus tard de l'associer à une adresse IP locale?
Note: je voudrais une option où il n'est pas nécessaire de marquer la clé publique du serveur de confiance sur chaque navigateur, comme je n'ai pas de contrôle sur les postes de travail.
- Question intéressante! Je n'ai pas de vraie réponse, mais j'espère qu'un "vrai" CA ne serait pas délivrer un certificat lié à un nom qui n'est pas en quelque sorte unique au monde. Un nom de domaine complet, en vertu de son espace de noms global, ou un public-l'adresse IP routable sont d'accord, mais un privé nom pourrait être usurpée.
Vous devez vous connecter pour publier un commentaire.
Je n'ai la suite, qui fonctionnait bien pour moi:
J'ai reçu une wildcard SSL cert pour *.mydomain.com (Namecheap, par exemple, fournir ce cher)
J'ai créé un enregistrement DNS CNAME pointant "mybox.mydomain.com" au "mybox.locaux".
J'espère que ça aide - malheureusement, vous aurez la charge d'un caractère générique cert pour votre nom de domaine, mais vous pouvez déjà avoir que.
Vous avez deux options pratiques:
Se lever de votre propre autorité de certification. Vous pouvez le faire avec OpenSSL et il y a beaucoup de Google info là-bas.
Gardez à l'aide de votre auto-signé cert, mais d'ajouter la clé publique de votre confiance certs dans le navigateur. Si vous êtes dans un domaine Active Directory, ce qui peut être fait automatiquement avec la stratégie de groupe.
Vous auriez à demander à la typique cert personnes pour cela. Pour la facilité d'utilisation que j'obtiendrais avec le nom de domaine complet, vous pouvez utiliser un sous-domaine de votre déjà enregistrée: https://mybox.example.com
Aussi, vous voudrez peut-être consulter les certificats wildcard, offrant une couverture cert (par exemple) https://*.example.com/- même utilisable pour l'hébergement virtuel, si vous en avez besoin plus que juste un cert.
Attestant de la sous - sous-sous-domaines de nom de domaine complet devrait standard pour l'entreprise - peut-être pas pour le point&click grands qui fiers d'eux-mêmes à fournir les certificats en seulement 2 minutes.
En bref: Pour faire le cert de confiance par un poste de travail, vous devez soit
C'est tous votre choix. Choisissez votre poison.
J'aurais ajouté ceci comme commentaire mais c'était un peu long..
Ce n'est pas vraiment une réponse à vos questions, mais dans la pratique, j'ai trouvé qu'il n'est pas recommandé d'utiliser une .local de domaine - même si c'est sur votre "local" de l'environnement de test, avec votre propre Serveur DNS.
Je sais que Active Directory utilise le .nom local par défaut lors de l'installation de DNS, mais même les gens de Microsoft-dire de l'éviter.
Si vous avez le contrôle sur le Serveur DNS, vous pouvez utiliser un .com, le .net, ou .org domaine - même si c'est interne et en privé seulement. De cette façon, vous pouvez effectivement acheter le nom de domaine que vous utilisez en interne et ensuite acheter un certificat pour ce nom de domaine et l'appliquer à votre domaine local.
je pense que la réponse est NON.
out-of-the-box, les navigateurs ne les certificats d'approbation, sauf si c'est en fin de compte été vérifié par quelqu'un pré-programmé dans le navigateur, par exemple, verisign, register.com.
vous ne pouvez obtenir un certificat vérifié pour un monde unique de domaine.
donc, je vous suggère plutôt de myapp.local que vous utilisez myapp.local.yourcompany.com pour laquelle vous devez être en mesure d'obtenir un certificat, à condition d'en avoir yourcompany.com. il va vous coûter cher pensée, de plusieurs centaines par an.
également être averti caractère générique des certificats pourrait seulement aller vers le bas à un niveau -- donc vous pouvez l'utiliser pour a.yourcompany.com et local.yourcompany.com mais peut-être pas b.a.yourcompany.com ou myapp.local.yourcompany.com, sauf si vous payez plus.
(personne ne sait, cela dépend-il du type de certificat générique? sont des sous-sous-domaines approuvés par les principaux navigateurs?)