1. Inicio
  2. Pregunta y respuesta
  3. certificado HTTPS para uso interno

certificado HTTPS para uso interno

2009-03-05 24 views
42

Soy la creación de un servidor web para un sistema que necesita ser utilizado solamente a través de HTTPS, en una red interna (sin acceso desde mundo exterior)certificado HTTPS para uso interno

En este momento llegué se configura con un certificado autofirmado, y funciona bien, a excepción de una desagradable advertencia de que todos los navegadores se activan, ya que la autoridad de CA solía firmarlo, por supuesto, no es de confianza.

acceso es proporcionado por un nombre de dominio DNS local resolvió el servidor DNS local (ejemplo: https://myapp.local/), que se asigna a esa dirección 192.168.xy

¿Hay algún proveedor que me puede emitir un certificado adecuado para su uso en un nombre de dominio interno (myapp.local)? ¿O es mi única opción utilizar un FQDN en un dominio real y luego asignarlo a una dirección IP local?

Nota: Me gustaría tener una opción donde no sea necesario marcar la clave pública del servidor como confiable en cada navegador, ya que no tengo control sobre las estaciones de trabajo.

Fuente

2009-03-05 Pablo Alsina

+0

¡Pregunta interesante! No tengo una respuesta real, pero espero que una CA "real" no emita un certificado vinculado a un nombre que no sea globalmente único. Un FQDN, en virtud de su espacio de nombre global, o una dirección IP enrutable públicamente están bien, pero un nombre privado podría ser falsificado. – erickson

Respuesta

5

hice lo siguiente, que funcionó muy bien para mí:

Obtuve un certificado SSL comodín para * .midominio.com (Namecheap, por ejemplo, proporcione esto a bajo precio)

Creé un registro DNS CNAME que apuntaba "mybox.midominio.com" a "mybox.local".

Espero que eso ayude, lamentablemente tendrá que pagar el certificado de comodín para su nombre de dominio, pero es posible que ya lo tenga.

Fuente

2016-12-05 23:03:10

+0

Tengo una pregunta para ti. Este enfoque funciona incluso para el subdominio de su mybox, como www.mybox.local, mobile.mybox.local, api, mybox.local? Quiero decir, solo tengo que configurar un solo registro CNAME DNS ponting en mybox.local para habilitar ssl en todos los subdominios para mybox.local? Porque tengo un contenedor Docker que ejecuta Apache con varios sitios web y me gustaría utilizar con HTTPS el enfoque mybox.local que ya estoy usando para HTTP. – noun

+0

@nombre, lo siento, no creo que este enfoque funcione para un subdominio. De hecho, después de más investigaciones, la mayoría de los servidores DNS no devolverán la dirección .local (que solo parece funcionar para las búsquedas LAN, por ejemplo, desde un enrutador doméstico). Al final, solo tuve que agregar un registro A normal con la dirección IP de la LAN (por ejemplo, 192.168.1.123) y funcionó bien. –

+0

Gracias, eso es lo que pensé. – noun

26

Usted tiene dos opciones prácticas:

  1. ponerse de pie a su propia CA. Puedes hacerlo con OpenSSL y hay mucha información de Google por ahí.

  2. Siga utilizando su certificado autofirmado, pero agregue la clave pública a sus certs de confianza en el navegador. Si está en un dominio de Active Directory, esto se puede hacer automáticamente con la política de grupo.

Fuente

2009-03-05 18:48:25 spoulson

+6

Sus opciones parecen estar en orden inverso, ya que solo debe iniciar su propia CA si agregar manualmente no es una opción. (De lo contrario, parece que usar un bulldozer de 16 toneladas para comprar comestibles) – Guvante

+2

Esto parece ser la forma correcta de hacerlo, pero me gustaría tener una opción donde no sea necesario marcar el PK como confiable en cada navegador, ya que no tengo control sobre todas las estaciones de trabajo. Agregaré esto como una nota a la pregunta. –

5

Tendría que preguntar a las personas cert típicas para eso. Para facilidad de uso me gustaría obtener el FQDN, puede usar un subdominio para el ya registrado: https://mybox.example.com

También es posible que desee ver los certificados comodín, proporcionando un certificado general para (p. Ej.) Https://*.example.com/ - incluso utilizable para alojamiento virtual, si necesita algo más que este certificado.

certificadores o sub-sub-sub dominios de FQDN deben ser negocio estándar - quizás no para el punto & clic tipos grandes que enorgullece a sí mismos para proporcionar los certificados en sólo 2 minutos.

En resumen: Para hacer el certificado de confianza para una estación de trabajo que tendría que sea

  • cambiar los ajustes en las estaciones de trabajo (que no desee) o
  • usar un partido ya de confianza para firme su llave (que está buscando una forma de evitarlo).

Eso es todo sus elecciones. Elige tu veneno

Fuente

2009-03-05 19:23:22

4

yo hubiera añadido esto como un comentario, pero fue un poco largo ..

Esto no es realmente una respuesta a sus preguntas, pero en la práctica me he dado cuenta que no es recomendable utilizar una dominio local, incluso si está en su entorno de prueba "local", con su propio servidor DNS.

Sé que Active Directory utiliza el nombre .local de forma predeterminada cuando el DNS de instalación, pero incluso personas en Microsoft dicen que lo eviten.

Si tiene control sobre el servidor DNS, puede usar un dominio .com, .net o .org, incluso si es interno y privado únicamente. De esta forma, podría comprar el nombre de dominio que está utilizando internamente y luego comprar un certificado para ese nombre de dominio y aplicarlo a su dominio local.

Fuente

2009-04-30 14:06:18 user67143

+0

El dominio .local significa que se buscará usando mDNS, por lo que cualquier persona en la red puede "registrar" cualquier dominio .local. Esa es probablemente la razón por la que algunas personas recomiendan no usarla. – Timmmm

0

Creo que la respuesta es NO.

out-of-the-box, los navegadores no confiarán en los certificados a menos que alguien los haya preprogramado previamente en el navegador, p. verisign, register.com.

solo puede obtener un certificado verificado para un dominio global único.

así que sugeriría que en lugar de myapp.local utilice myapp.local.yourcompany.com, para lo cual debería poder obtener un certificado, siempre que sea dueño de yourcompany.com. te costará pensar, varios cientos por año.

Además, tenga en cuenta que los certificados de comodín solo pueden bajar a un nivel, por lo que podría usarlo para a.suempresa.com y local.suempresa.com, pero tal vez no bayourcompany.com o myapp.local.yourcompany.com , a menos que pagues más.

(¿alguien sabe, ¿Depende del tipo de certificado comodín son sub-sub-dominios de confianza por los principales navegadores??)

Fuente

2009-10-23 13:46:07

Cuestiones relacionadas

 Cuestiones relacionadas