我現在設立的網絡服務器,需要使用僅通過HTTPS一個系統,內部網絡(從外界無法訪問)HTTPS證書供內部使用
上我它使用自簽名證書進行設置,並且工作正常,除了所有瀏覽器啓動的令人討厭的警告之外,因爲CA權威機構用於對其進行簽名自然不受信任。
的訪問是由解決本地DNS服務器(例如:https://myapp.local/)上的本地DNS域名提供的,該地址映射到類似192.168.xy
有一些供應商,可以在發給我一個適當的證書使用一個內部域名(myapp.local)?或者,我是唯一選擇在真實域上使用FQDN,然後將其映射到本地IP地址?
注意:我想要一個選項,不需要在每個瀏覽器上將服務器公鑰標記爲可信,因爲我沒有控制工作站。
我做了以下內容,這很好地爲我工作:
我得到了* .mydomain.com的通配SSL證書(Namecheap,例如,提供此便宜)
我創建了一個CNAME DNS記錄,指向「mybox.local」處的「mybox.mydomain.com」。
我希望這會有所幫助 - 不幸的是,您將爲您的域名獲得通配證書的費用,但您可能已經擁有該證書。
你有兩個切實可行的方案:
站起來自己的CA.你可以用OpenSSL來做,而且那裏有很多Google的信息。
繼續使用您的自簽名證書,但將公鑰添加到瀏覽器中的可信證書。如果您位於Active Directory域中,則可以使用組策略自動完成此操作。
您的選擇似乎是相反的順序,因爲如果手動添加不是選項,您應該只啓動自己的CA. (否則,它似乎使用16噸推土機買雜貨) – Guvante 2009-03-05 18:53:54
這似乎是正確的方式來做到這一點,但我想要一個選項,在每個瀏覽器上將PK標記爲可信,因爲我沒有控制在所有工作站上。我會添加這個作爲問題的註釋。 – 2009-03-05 19:09:15
您必須向典型的認證人員諮詢。不過,爲了便於使用,我還是使用FQDN,你可以在你已經註冊的域名中使用一個子域名:https://mybox.example.com
你也可以看一下通配符證書,爲(例如)https:/ /*.example.com/ - 甚至可用於虛擬主機,如果您需要的不僅僅是這一個證書。
FQDN 的核證子或子子域應該是標準的業務 - 也許不是點&點擊大傢伙而自豪,以提供證書,在短短2分鐘。
簡而言之:使證書由工作站信任你必須在工作站上無論是
這就是全部您的選擇。選擇你的毒藥。
我會加入這個作爲一個評論,但它是一個有點長..
這是不是一個真正的回答你的問題,但在實踐中我發現,它不建議使用.local域名 - 即使它位於「本地」測試環境中,使用自己的DNS服務器。
我知道Active Directory在安裝DNS時默認使用.local名稱,但即使是微軟的人也會這麼說。
如果您可以控制DNS服務器,則可以使用.com,.net或.org域 - 即使它只是內部和私有域。這樣,您實際上可以購買您在內部使用的域名,然後爲該域名購買證書並將其應用到您的本地域。
.local域意味着它將使用mDNS查找,因此網絡上的任何人都可以「註冊」任何.local域。這可能是有人推薦不使用它的原因。 – Timmmm 2015-11-12 17:43:57
我認爲答案是NO。
開箱即用的瀏覽器不會信任證書,除非它最終被預先編程到瀏覽器中的某個人驗證過,例如, verisign,register.com。
您只能獲得全球唯一域的經過驗證的證書。
所以我會建議,而不是myapp.local你使用myapp.local.yourcompany.com,你應該能夠獲得證書,只要你擁有yourcompany.com。它會花費你想象,每年幾百。
也會被警告通配符證書可能只能下到一個級別 - 所以您可以將它用於a.yourcompany.com和local.yourcompany.com,但可能不是bayourcompany.com或myapp.local.yourcompany.com ,除非你支付更多。
(沒有人知道,不是依靠通配符證書的類型是由主流瀏覽器信任的子子域?)
有趣的問題!我沒有真正的答案,但我希望一個「真正的」CA不會頒發一個綁定到一個不是全球唯一的名稱的證書。 FQDN憑藉其全局名稱空間或可公開路由的IP地址可以,但私人名稱可能被欺騙。 – erickson 2009-03-05 19:36:28