web-dev-qa-db-ja.com

内部使用のためのHTTPS証明書

only HTTPS経由、内部ネットワーク(外部からのアクセスなし)で使用する必要のあるシステム用にWebサーバーを設定しています。

現在、自己署名証明書を使用してセットアップしましたが、すべてのブラウザが起動するという厄介な警告を除き、正常に動作します。署名に使用したCA機関は当然信頼されていません。

アクセスは、ローカルDNSサーバーで解決されたローカルDNSドメイン名(例: https://myapp.local/ )によって提供され、そのアドレスを192.168.x.yにマッピングします

内部ドメイン名(myapp.local)で使用する適切な証明書を発行できるプロバイダーはありますか?または、実ドメインでFQDNを使用し、後でそれをローカルIPアドレスにマップする唯一のオプションはありますか?

:ワークステーションを制御していないため、サーバーの公開キーを各ブラウザーで信頼済みとしてマークする必要がないオプションが必要です。

50
Pablo Alsina

私は次のことを行いました。

* .mydomain.comのワイルドカードSSL証明書を取得しました(たとえば、Namecheapはこれを安く提供しています)

「mybox.local」で「mybox.mydomain.com」を指すCNAME DNSレコードを作成しました。

これがお役に立てば幸いです-残念ながら、ドメイン名にワイルドカード証明書が必要になりますが、すでに持っているかもしれません。

12
Paul Higgins

次の2つの実用的なオプションがあります。

  1. 独自のCAを立ち上げます。 OpenSSLでそれを行うことができ、そこには多くのGoogle情報があります。

  2. 自己署名証明書を使用し続けますが、ブラウザで信頼できる証明書に公開鍵を追加します。 Active Directoryドメインにいる場合、これはグループポリシーを使用して自動的に実行できます。

27
spoulson

あなたはそれについて典型的な証明書の人々に尋ねなければなりません。使いやすさのためにFQDNを取得しますが、既に登録されているサブドメインにサブドメインを使用する場合があります。 https://mybox.example.com

また、ワイルドカード証明書を調べて、(たとえば)https://*.example.com/のブランケット証明書を提供することもできます-この1つ以上の証明書が必要な場合は、仮想ホスティングにも使用できます。

FQDNのサブドメインまたはサブサブドメインの認証shouldは標準的なビジネスである必要があります-たった2回で証明書を提供することを誇りに思っているポイント&クリックの大企業向けではありません分。

要するに、ワークステーションで証明書を信頼するには、次のいずれかを行う必要があります。

  • ワークステーションの設定を変更する(必要ない)または
  • 既に信頼されている当事者を使用してキーに署名します(これを回避する方法を探しています)。

それがallあなたの選択です。毒を選択してください。

5
Olaf Kock

これをコメントとして追加しますが、少し長かったです。

これは実際にはあなたの質問に対する答えではありませんが、実際には、.localドメインを使用することはお勧めしません。たとえそれが "ローカル"テスト環境でDNSサーバーを使用していても。

DNSをインストールするとき、Active Directoryはデフォルトで.local名を使用することを知っていますが、Microsoftの人でさえ、それを避けるように言っています。

DNSサーバーを制御できる場合は、.com、.net、または.orgドメインを使用できます(内部およびプライベートのみの場合でも)。この方法では、内部的に使用しているドメイン名を実際に購入してから、そのドメイン名の証明書を購入してローカルドメインに適用できます。

5
user67143

答えはノーだと思います。

すぐに使えるブラウザは、ブラウザに事前にプログラムされた誰かによって最終的に検証されない限り、証明書を信頼しません。 verisign、register.com。

グローバルに一意のドメインの検証済み証明書のみを取得できます。

したがって、myapp.localの代わりにmyapp.local.yourcompany.comを使用することをお勧めします。myapp.local.yourcompany.comを所有していれば、証明書を取得できるはずです。 1年に数百件の費用がかかります。

また、ワイルドカード証明書は1レベルまでしか下がらない可能性があるため、a.yourcompany.comおよびlocal.yourcompany.comで使用できますが、bayourcompany.comまたはmyapp.local.yourcompany.comではない場合があります。もっと。

(誰もが知っていますか、ワイルドカード証明書の種類に依存しますか?サブブラウザは主要なブラウザによって信頼されていますか?)

0
Partly Cloudy