Сертификат HTTPS для внутреннего использования

Ответ 1

Я сделал следующее, что прекрасно работало для меня:

Я получил подстановочный SSL-сертификат для *.mydomain.com(например, Namecheap обеспечивает это дешево)

Я создал запись CNAME DNS, указав "mybox.mydomain.com" на "mybox.local".

Я надеюсь, что это поможет - к сожалению, у вас будет счет подстановочного сертификата для вашего доменного имени, но у вас может быть уже это.

Ответ 2

У вас есть два практических варианта:

• Встаньте свой собственный ЦС. Вы можете сделать это с помощью OpenSSL и там много информации Google.

• Продолжайте использовать свой самозаверяющий сертификат, но добавьте открытый ключ в свои доверенные сертификаты в браузере. Если вы находитесь в домене Active Directory, это можно сделать автоматически с помощью групповой политики.

Ответ 3

Вы должны спросить у типичных людей сертификатов. Для удобства использования я получил бы с FQDN, хотя вы могли бы использовать поддомен для вашего уже зарегистрированного: https://mybox.example.com

Также вы можете посмотреть подстановочные сертификаты, предоставляя полный сертификат для (например) https://*.example.com/- даже пригодный для виртуального хостинга, если вам нужно больше, чем только этот сертификат.

Сертифицирование суб- или субдоменных доменов FQDN должно быть стандартным бизнесом - возможно, не для того, чтобы просто нажать на больших парней, которые гордятся тем, что предоставляют сертификаты всего за 2 минуты.

Вкратце: чтобы сертификат, которому доверяла рабочая станция, вам приходилось либо

• изменить настройки на рабочих станциях (которые вам не нужны) или
• используйте уже доверенную сторону, чтобы подписать ваш ключ (который вы ищете).

Это все ваши выборы. Выберите яд.

Ответ 4

Я бы добавил это в качестве комментария, но это было немного долго.

Это не ответ на ваши вопросы, но на практике я обнаружил, что не рекомендуется использовать домен .local, даже если он находится в вашей "локальной" тестовой среде, с вашим собственным DNS-сервером.

Я знаю, что Active Directory использует имя .local по умолчанию, когда ваш установочный DNS, но даже люди в Microsoft говорят, чтобы избежать этого.

Если у вас есть контроль над DNS-сервером, вы можете использовать домен .com,.net или .org, даже если он только внутренний и частный. Таким образом, вы можете фактически купить доменное имя, которое вы используете внутренне, а затем купить сертификат для этого имени домена и применить его к своему локальному домену.

Ответ 5

Я думаю, что ответ НЕТ.

из-за коробки браузеры не будут доверять сертификатам, если в конечном счете он не будет проверен кем-либо, предварительно запрограммированным в браузере, например. verisign, register.com.

вы можете получить только проверенный сертификат для глобального уникального домена.

поэтому я бы предложил вместо myapp.local использовать myapp.local.yourcompany.com, для которого вы должны иметь возможность получить сертификат, если у вас есть собственный comcompany.com. это будет стоить вам несколько сотен в год.

также должны быть предупреждены, что подстановочные сертификаты могут переходить только на один уровень - поэтому вы можете использовать его для a.yourcompany.com и local.yourcompany.com, но, возможно, не bayourcompany.com или myapp.local.yourcompany.com, если вы не платите больше.

(знает ли кто-нибудь, зависит ли он от типа подстановочного сертификата?) - суб-поддомены, которым доверяют основные браузеры?)