我设置了一个网络服务器为需要使用的系统只能通过HTTPS,在对内部网络(从外界无法访问)
现在我使用自签名证书进行设置,并且它工作正常,除了所有浏览器启动的恶意警告,因为用于签名的CA权限自然不受信任.
访问由在本地DNS服务器上解析的本地DNS域名提供(例如:https://myapp.local/),将该地址映射到192.168.xy
是否有某些提供商可以向我发出适用于内部域名(myapp.local)的证书?或者我是唯一一个在真实域上使用FQDN,然后将其映射到本地IP地址的选项?
注意:我想要一个选项,不需要在每个浏览器上将服务器公钥标记为受信任,因为我无法控制工作站.
您有两个实用选择:
站起来自己的CA. 你可以用OpenSSL做到这一点,那里有很多谷歌信息.
继续使用自签名证书,但在浏览器中将公钥添加到受信任的证书中.如果您位于Active Directory域中,则可以使用组策略自动完成此操作.
我做了以下工作,对我来说效果很好:
我为*.mydomain.com获得了通配符SSL证书(例如,Namecheap,提供这个便宜)
我在"mybox.local"创建了一个指向"mybox.mydomain.com"的CNAME DNS记录.
我希望有所帮助 - 不幸的是,您将为您的域名支付通配符证书,但您可能已经拥有了.
您必须向典型的证书人员询问.为了便于使用,我会使用FQDN,您可以使用已注册的子域:https://mybox.example.com
此外,您可能希望查看通配符证书,为(例如)https://*.example.com/提供一揽子证书 - 甚至可用于虚拟主机,如果您需要的不仅仅是这一个证书.
认证FQDN的子域或子域应该是标准业务 - 也许不是点和点击大家伙,他们自豪地在2分钟内提供证书.
简而言之:要使工作站信任您的证书,您必须要么
更改工作站上的设置(您不想要的)或
使用已经受信任的一方签署您的密钥(您正在寻找解决方法).
这都是你的选择.选择你的毒药.
我会添加这个作为评论,但它有点长..
这不是你问题的真正答案,但在实践中我发现不建议使用.local域 - 即使它在你的"本地"测试环境中,使用你自己的DNS服务器.
我知道Active Directory在安装DNS时默认使用.local名称,但即使是微软的人也说要避免使用.local.
如果您可以控制DNS服务器,则可以使用.com,.net或.org域 - 即使它只是内部和私有域.这样,您实际上可以购买您在内部使用的域名,然后购买该域名的证书并将其应用到您的本地域.
京公网安备 11010802040832号 | 京ICP备19059560号-6 