HTTPS сертификат для внутреннего использования

Question

Я настраиваю веб-сервер для системы, которую необходимо использовать только через HTTPS, во внутренней сети (нет доступа из внешнего мира)

Прямо сейчас я настроил его с самозаверяющим сертификатом, и он отлично работает, за исключением неприятного предупреждения о том, что все браузеры запускаются, так как полномочия CA, используемые для подписи, естественно, не являются доверенными.

Доступ обеспечивается по локальному DNS-имени домена, разрешенному на локальном DNS-сервере (пример: https://myapp.local/),, который сопоставляет этот адрес с 192.168.x.y

Есть ли провайдер, который может выдать мне соответствующий сертификат для использования на внутреннем доменном имени (myapp.local)? Или мой единственный вариант - использовать полное доменное имя в реальном домене, а затем сопоставить его с локальным IP-адресом?

Примечание : Я хотел бы выбрать вариант, в котором нет необходимости отмечать открытый ключ сервера как надежный в каждом браузере, поскольку я не контролирую рабочие станции.

Answer 1

У вас есть два практических варианта:

1. Встань свой собственный CA. Вы можете сделать это с OpenSSL, и там много информации от Google.

2. Продолжайте использовать свой самоподписанный сертификат, но добавьте открытый ключ в список доверенных сертификатов в браузере. Если вы находитесь в домене Active Directory, это можно сделать автоматически с помощью групповой политики.

Answer 2

Я сделал следующее, что сработало для меня:

Я получил сертификат SSL с подстановочным знаком для * .mydomain.com (например, Namecheap, предоставьте это дешево)

Я создал DNS-запись CNAME, указывающую «mybox.mydomain.com» на «mybox.local».

Надеюсь, это поможет - к сожалению, у вас будут расходы на сертификат подстановочного знака для вашего доменного имени, но у вас это может уже быть.

Answer 3

Я бы добавил это как комментарий, но это было немного длинно ..

Это не совсем ответ на ваши вопросы, но на практике я обнаружил, что не рекомендуется использовать домен .local - даже если он находится в вашей "локальной" среде тестирования, с вашим собственным DNS-сервером.

Я знаю, что Active Directory по умолчанию использует имя .local при установке DNS, но даже сотрудники Microsoft говорят, что этого следует избегать.

Если у вас есть контроль над DNS-сервером, вы можете использовать домен .com, .net или .org - даже если он только внутренний и частный. Таким образом, вы можете фактически купить доменное имя, которое вы используете внутри, а затем купить сертификат для этого доменного имени и применить его к своему локальному домену.

Answer 4

Вы должны спросить об этом типичных сертифицированных людей. Для простоты использования я получу полное доменное имя, хотя вы можете использовать поддомен к уже зарегистрированному: https://mybox.example.com

Также вы можете посмотреть на групповые сертификаты, предоставляющие общий сертификат (например,) https://*.example.com/ - даже используемый для виртуального хостинга, если вам требуется больше, чем только этот сертификат.

Сертификация суб-или суб-суб-доменов FQDN должна быть стандартным бизнесом - может быть, не в этом дело, а щелкнуть по большим парням, которые гордятся тем, что предоставили сертификаты всего за 2 минуты.

Вкратце: чтобы доверять сертификат рабочей станции, вам нужно будет либо

• изменить настройки на рабочих станциях (которые вам не нужны) или
• используйте уже доверенную сторону для подписи вашего ключа (который вы ищете для обхода).

Это все ваш выбор. Выбери свой яд.

Answer 5

я думаю, что ответ НЕТ.

«из коробки» браузеры не будут доверять сертификатам, если они не были окончательно проверены кем-то, предварительно запрограммированным в браузере, например, verisign, register.com.

вы можете получить только проверенный сертификат для уникального домена.

поэтому я бы предложил вместо myapp.local использовать myapp.local.yourcompany.com, для которого вы сможете получить сертификат при условии, что вы являетесь владельцем yourcompany.com. думал, это будет стоить несколько сотен в год.

также следует предупредить, что подстановочные сертификаты могут переходить только на один уровень - так что вы можете использовать их для a.yourcompany.com и local.yourcompany.com, но, возможно, не bayourcompany.com или myapp.local.yourcompany.com, если вы не платите больше.

(кто-нибудь знает, зависит ли это от типа сертификата с подстановочными знаками? Доверяют ли субдоменам основные браузеры?)