Я настраиваю веб-сервер для системы, которая должна использоваться только через HTTPS, в внутренней сети (без доступа из внешнего мира)
В настоящий момент я получил настройку с самозаверяющим сертификатом, и он отлично работает, за исключением неприятного предупреждения о том, что все браузеры срабатывают, так как авторитет ЦС, используемый для его подписания, естественно, не заслуживает доверия.
Доступ обеспечивается локальным DNS-доменным доменом, разрешенным на локальном DNS-сервере (пример: https://myapp.local/), который отображает этот адрес на 192.168.xy
Есть ли какой-нибудь провайдер, который может предоставить мне правильный сертификат для использования во внутреннем доменном имени (myapp.local)? Или мой единственный вариант использования полного доменного имени в реальном домене, а затем привязать его к локальному IP-адресу?
Примечание. Мне нужен параметр, где не нужно было бы отмечать открытый ключ сервера как надежный в каждом браузере, так как я не контролирую рабочие станции.
Я сделал следующее, что прекрасно работало для меня:
Я получил подстановочный SSL-сертификат для *.mydomain.com(например, Namecheap обеспечивает это дешево)
Я создал запись CNAME DNS, указав "mybox.mydomain.com" на "mybox.local".
Я надеюсь, что это поможет - к сожалению, у вас будет счет подстановочного сертификата для вашего доменного имени, но у вас может быть уже это.
У вас есть два практических варианта:
Встаньте свой собственный ЦС. Вы можете сделать это с помощью OpenSSL и там много информации Google.
Продолжайте использовать свой самозаверяющий сертификат, но добавьте открытый ключ в свои доверенные сертификаты в браузере. Если вы находитесь в домене Active Directory, это можно сделать автоматически с помощью групповой политики.
Вы должны спросить у типичных людей сертификатов. Для удобства использования я получил бы с FQDN, хотя вы могли бы использовать поддомен для вашего уже зарегистрированного: https://mybox.example.com
Также вы можете посмотреть подстановочные сертификаты, предоставляя полный сертификат для (например) https://*.example.com/- даже пригодный для виртуального хостинга, если вам нужно больше, чем только этот сертификат.
Сертифицирование суб- или субдоменных доменов FQDN должно быть стандартным бизнесом - возможно, не для того, чтобы просто нажать на больших парней, которые гордятся тем, что предоставляют сертификаты всего за 2 минуты.
Вкратце: чтобы сертификат, которому доверяла рабочая станция, вам приходилось либо
Это все ваши выборы. Выберите яд.
Я бы добавил это в качестве комментария, но это было немного долго.
Это не ответ на ваши вопросы, но на практике я обнаружил, что не рекомендуется использовать домен .local, даже если он находится в вашей "локальной" тестовой среде, с вашим собственным DNS-сервером.
Я знаю, что Active Directory использует имя .local по умолчанию, когда ваш установочный DNS, но даже люди в Microsoft говорят, чтобы избежать этого.
Если у вас есть контроль над DNS-сервером, вы можете использовать домен .com,.net или .org, даже если он только внутренний и частный. Таким образом, вы можете фактически купить доменное имя, которое вы используете внутренне, а затем купить сертификат для этого имени домена и применить его к своему локальному домену.
Я думаю, что ответ НЕТ.
из-за коробки браузеры не будут доверять сертификатам, если в конечном счете он не будет проверен кем-либо, предварительно запрограммированным в браузере, например. verisign, register.com.
вы можете получить только проверенный сертификат для глобального уникального домена.
поэтому я бы предложил вместо myapp.local использовать myapp.local.yourcompany.com, для которого вы должны иметь возможность получить сертификат, если у вас есть собственный comcompany.com. это будет стоить вам несколько сотен в год.
также должны быть предупреждены, что подстановочные сертификаты могут переходить только на один уровень - поэтому вы можете использовать его для a.yourcompany.com и local.yourcompany.com, но, возможно, не bayourcompany.com или myapp.local.yourcompany.com, если вы не платите больше.
(знает ли кто-нибудь, зависит ли он от типа подстановочного сертификата?) - суб-поддомены, которым доверяют основные браузеры?)