Certificat SSL pour internes et externes de l'utilisation

Supposons que j'ai une application web qui est accessible de l'extérieur via http://webapp.mydomain.com et en interne via des http://webapp.intranetservername/

Faire j'ai besoin de deux certificats SSL? Ou peut même certificat SSL être utilisé?

OriginalL'auteur Hassan Voyeau | 2013-08-14

  1. 6

    Vous aurez besoin de deux certificats SSL, et l'une pour l'intranet serveur devra être auto-signé, parce que les autorités de certification sont interdites à partir des certificats de signature pour les domaines internes (comme il n'y a aucun moyen de vérifier la propriété d'un tel domaine).

    Il est normalement possible de créer un seul certificat SSL valide pour plusieurs domaines (à l'aide de l'Objet l'autre Nom de l'extension). Cependant, encore une fois, CA ne peut pas se connecter l'un à moins qu'ils puissent valider tous les domaines qu'elle prétend être valable pour.

    OriginalL'auteur duskwuff

  2. 5

    En principe, vous pouvez disposer d'un certificat unique avec deux autres Noms de l'Objet pour webapp.mydomain.com et webapp.intranetservername. Dans la pratique, ce n'est pas réaliste, car non CA sera question de quelque chose de .intranetservername, à moins que c'est aussi un bon nom de domaine public.

    Généralement parlant, si .intranetservername n'est pas un nom de domaine enregistré, aucune autorité de certification délivre un certificat pour elle, de sorte que vous aurez à utiliser votre propre autorité de certification de toute façon.

    • Si vous pouvez vous attendre à deux types de clients (interne et externe) de faire confiance à votre propre autorité de certification, vous pouvez bien entendu émettre un certificat à deux SANs par cette autorité de certification.

    • Si vous vous attendez à différents types d'utilisateurs (en ne comptant que la valeur par défaut des paquets de CAs ou de faire confiance à votre CA trop), vous devrez utiliser les deux certificats délivrés par chacun. Vous pouvez aussi avoir besoin de les lier à des adresses IP distinctes (mais la disponibilité d'une adresse IP interne sur un réseau local n'est pas nécessairement un problème).

    Plus fondamentalement, est-il une bonne raison pour laquelle vous êtes à l'appel de la même application web, en cours d'exécution sur la même machine, par deux noms distincts, si vous accédez à l'interne ou à l'externe? Pourquoi pas des personnes au sein de l'intranet de parler à webapp.mydomain.com?

    Je suppose que cela peut être une tentative pour augmenter la sécurité en quelque sorte, mais si c'est la même machine, il sera sur les deux réseaux, de toute façon, je ne suis pas sûr de ce que d'amélioration de la sécurité ce nom séparation apporte.

    Si vous voulez vraiment des noms différents, vous pouvez avoir les deux sur votre domaine externe (par exemple, webapp.mydomain.com et intranet.mydomain.com), et ont un certificat émis par une CA connus pour les deux (je ne sais pas encore sur l'avantage de séparer les noms sur la même machine, tout de même). En effet, la validation de certificat est uniquement basé sur le nom, et vous pouvez facilement avoir votre serveurs DNS point intranet.mydomain.com à une adresse IP privée (par exemple,10.1.1.1). Les gens de l'extérieur ne sera pas en mesure d'accéder à cette adresse, tout simplement parce qu'il ne sera pas écrasé, mais il fonctionne parfaitement au sein de votre intranet (fourni des ordinateurs sur le site intranet sont en mesure de faire des requêtes DNS, certains environnements bloc).

    OriginalL'auteur Bruno

  3. 2

    Vous aurez besoin de deux, depuis la certification SSL ouvrages sur le nom de domaine, et vous avez deux noms de domaine.

    Vous pouvez utiliser le même sur les deux, mais il y aurait un message d'erreur apparaît dans la plupart des navigateurs avertir les utilisateurs que le cert n'était pas authentique.

    Vous pouvez obtenir autour de le coût implication d'avoir à enregistrer à la fois avec Verisign par l'auto-certification de l'intranet et de la distribution de l'auto-cert à l'ensemble de vos employés navigateurs.

    En fonction de la taille de l'entreprise et le nombre d'utilisateurs qui auront accès à "webapp.intranetservername" cela peut ou peut ne pas être moins cher et plus facile que de simplement regging les deux domaines avec Verisign.

    OriginalL'auteur Ten98