Самозаверяющий сертификат HTTPS SSL с сертификатом CA

Question

У меня есть веб-сайт в нашей внутренней сети, который также доступен для общественности. Я приобрел и установил сертификат SSL для этого общедоступного сайта. Сайт доступен с использованием https://site.domain.com (общедоступный) и https://site.domain.local (внутренний).

Проблема, с которой я сталкиваюсь, заключается в создании и установке самозаверяющего сертификата для внутреннего «site.domain.local», чтобы люди во внутренней сети не получали предупреждение безопасности. У меня есть хранилище ключей в корневой папке, а также я создал самозаверяющий сертификат в этом хранилище ключей, но не повезло. Открытый ключ работает просто отлично. Я использую Debian Linux с установленным Tomcat 7, а также использую Active Directory в сети с Microsoft DNS. Любая помощь будет принята с благодарностью. Если вам нужна более подробная информация, пожалуйста, спросите.

Answer 1

Один из способов заключается в добавлении сертификата CA в каждое доверенное хранилище сертификатов клиентов (что не удобно): клиент нажимает на сообщение предупреждение о сертификате и устанавливает / доверяет самоподписанному сертификату CA x509. Если это не работает, есть проблема с сертификатом (хотя большинство сгенерированных openssl вещей .CER / .CRT / .P12 / .PFX будут установлены без проблем в последних окнах).

Если один клиент принимает самозаверяющий сертификат с ручной настройкой, вы можете попытаться установить эти сертификаты с Active Directory; в основном вы добавляете доверенный сертификат CA в свою AD, и клиент автоматически синхронизируется (примечание: в основном при входе в систему): см. подсказку по настройке AD: http://support.microsoft.com/kb/295663/en-us (вы можете попробовать это или копать в этом направлении : с AD вы никогда не узнаете).

Другая возможность - настроить внутренний DNS так, чтобы он указывал site.domain.com на адрес локального веб-сайта (простой способ ). Вы можете протестировать эту настройку с помощью файла /etc/hosts в версиях linux / unix (или system32/drivers/etc/hosts в вариантах Windows)

Answer 2

Если ваш сертификат предназначен для site.domain.com, а пользователи переходят на site.domain.local и получают этот сертификат, то очевидно, что существует несоответствие имени, и браузер всегда предупредит вас.либо необходимо:

• восстановить сертификат с именами ОБА
• получить сертификат только для внутреннего сайта
• искажения DNS, чтобы при переходе внутренних пользователейsite.domain.com они получают IP-адрес site.domain.local.

Answer 3

Не уверен, что я полностью понимаю вашу настройку, но вы можете подключить ваш Tomcat к Apache, установить сертификат на экземпляр Apache и затем выполнить обратный прокси-сервер (обычный http) для вашего экземпляра Tomcat. Люди получат доступ к экземпляру Apache, который будет обрабатывать SSL-соединение.