HTTPS证书供内部使用
我正在为需要仅通过HTTPS使用的系统设置一个Web服务器,在内部networking上 (不能从外部访问)
现在我用自签名证书设置了它,并且工作正常,除了所有浏览器启动的令人讨厌的警告,因为CA权威机构用于对其进行签名自然不受信任。
访问由本地DNS服务器上parsing的本地DNS域名(例如: https://myapp.local/ )提供,将该地址映射到192.168.xy
有一些提供者可以给我一个适当的证书用于内部域名(myapp.local)吗? 或者,我是唯一select在真实域上使用FQDN,然后将其映射到本地IP地址?
注意 :我想在不需要在每个浏览器上将服务器公钥标记为可信的选项,因为我没有控制工作站。
我做了以下,这对我很好:
我得到了* .mydomain.com的通配SSL证书(例如Namecheap,提供这个便宜)
我在“mybox.local”上创build了一个指向“mybox.mydomain.com”的CNAME DNSlogging。
我希望这可以帮助 – 不幸的是,你的域名会有一个通配证书,但是你可能已经有了。
你有两个实用的select:
-
站起来你自己的CA. 你可以用OpenSSL来做,而且那里有很多的Google信息。
-
继续使用自签名证书,但将公钥添加到浏览器中的可信证书。 如果您在Active Directory域中,则可以使用组策略自动完成。
你不得不问一些典型的证书人员。 为了便于使用,我会使用FQDN,但是您可以使用已经注册的子域名: https : //mybox.example.com
此外,您可能需要查看通配符证书,为(例如)https://*.example.com/提供全面的证书 – 甚至可用于虚拟主机,如果您需要的不仅仅是这一个证书。
authenticationFQDN的子域或子域应该是标准的业务 – 也许不是那些只在2分钟内就能提供证书的大家伙。
简而言之:要使工作站信任的证书,你必须要
- 改变工作站上的设置(你不想要的)或者
- 使用已经信任的一方签署你的密钥(你正在寻找一种方法)。
这是你所有的select。 select你的毒药。
我会添加这个作为评论,但它有点长..
这不是真正的答案,但实际上,我发现不build议使用.local域,即使是在“本地”testing环境中,也不要使用自己的DNS服务器。
我知道Active Directory在安装DNS时默认使用.local名,但是即使是微软的人也会这么说。
如果您可以控制DNS服务器,则可以使用.com,.net或.org域 – 即使它只是内部和私有域。 这样,您实际上可以购买您在内部使用的域名,然后为该域名购买证书并将其应用到您的本地域名。
我想答案是否定的。
开箱即用的浏览器不会信任证书,除非它最终被预先编程到浏览器中的某个人validation,例如verisign,register.com。
您只能获得一个全球唯一域的经过validation的证书。
所以我build议,而不是myapp.local你使用myapp.local.yourcompany.com,你应该能够得到一个证书,只要你拥有yourcompany.com。 它会花费你想象,每年几百。
也要警告通配符证书可能只下到一个级别 – 所以你可以使用它为a.yourcompany.com和local.yourcompany.com,但也许不是bayourcompany.com或myapp.local.yourcompany.com,除非你支付更多。
(有谁知道,是否取决于通配符证书的types?是由主要浏览器信任的子子域?)
- 如何使用Selenium禁用Firefox的不可信连接警告?
- 我怎样才能从Xcode的iPhone应用程序部署到一个真正的iPhone设备?
- 为什么在SSL握手期间java不发送客户端证书?
- 如何解决“java.security.cert.CertificateException:没有主题替代名称”错误?
- Xcode 4 – 在新的Macintosh安装上设置configuration文件时出现“找不到有效的签名标识”错误
- 如何使用私钥将.pfx文件转换为密钥库?
- 如何使用C#创build自签名证书?
- 使用opensslvalidation来validation证书链
- 使用HttpClient通过HTTPS信任所有证书