HTTPS证书供内部使用

我正在为需要通过HTTPS使用的系统设置一个Web服务器,在内部networking上 (不能从外部访问)

现在我用自签名证书设置了它,并且工作正常,除了所有浏览器启动的令人讨厌的警告,因为CA权威机构用于对其进行签名自然不受信任。

访问由本地DNS服务器上parsing的本地DNS域名(例如: https://myapp.local/ )提供,将该地址映射到192.168.xy

有一些提供者可以给我一个适当的证书用于内部域名(myapp.local)吗? 或者,我是唯一select在真实域上使用FQDN,然后将其映射到本地IP地址?

注意 :我想在不需要在每个浏览器上将服务器公钥标记为可信的选项,因为我没有控制工作站。

我做了以下,这对我很好:

我得到了* .mydomain.com的通配SSL证书(例如Namecheap,提供这个便宜)

我在“mybox.local”上创build了一个指向“mybox.mydomain.com”的CNAME DNSlogging。

我希望这可以帮助 – 不幸的是,你的域名会有一个通配证书,但是你可能已经有了。

你有两个实用的select:

  1. 站起来你自己的CA. 你可以用OpenSSL来做,而且那里有很多的Google信息。

  2. 继续使用自签名证书,但将公钥添加到浏览器中的可信证书。 如果您在Active Directory域中,则可以使用组策略自动完成。

你不得不问一些典型的证书人员。 为了便于使用,我会使用FQDN,但是您可以使用已经注册的子域名: https : //mybox.example.com

此外,您可能需要查看通配符证书,为(例如)https://*.example.com/提供全面的证书 – 甚至可用于虚拟主机,如果您需要的不仅仅是这一个证书。

authenticationFQDN的子域或子域应该是标准的业务 – 也许不是那些只在2分钟内就能提供证书的大家伙。

简而言之:要使工作站信任的证书,你必须要

  • 改变工作站上的设置(你不想要的)或者
  • 使用已经信任的一方签署你的密钥(你正在寻找一种方法)。

这是你所有的select。 select你的毒药。

我会添加这个作为评论,但它有点长..

这不是真正的答案,但实际上,我发现不build议使用.local域,即使是在“本地”testing环境中,也不要使用自己的DNS服务器。

我知道Active Directory在安装DNS时默认使用.local名,但是即使是微软的人也会这么说。

如果您可以控制DNS服务器,则可以使用.com,.net或.org域 – 即使它只是内部和私有域。 这样,您实际上可以购买您在内部使用的域名,然后为该域名购买证书并将其应用到您的本地域名。

我想答案是否定的。

开箱即用的浏览器不会信任证书,除非它最终被预先编程到浏览器中的某个人validation,例如verisign,register.com。

您只能获得一个全球唯一域的经过validation的证书。

所以我build议,而不是myapp.local你使用myapp.local.yourcompany.com,你应该能够得到一个证书,只要你拥有yourcompany.com。 它会花费你想象,每年几百。

也要警告通配符证书可能只下到一个级别 – 所以你可以使用它为a.yourcompany.com和local.yourcompany.com,但也许不是bayourcompany.com或myapp.local.yourcompany.com,除非你支付更多。

(有谁知道,是否取决于通配符证书的types?是由主要浏览器信任的子子域?)