供内部使用的 HTTPS 证书

Question

我正在为一个系统设置一个网络服务器，该系统需要在内部网络上仅通过 HTTPS 使用（无法从外部世界访问），

现在我已经设置好了使用自签名证书，它工作得很好，除了所有浏览器都会启动的令人讨厌的警告，因为用于签名的 CA 机构自然不受信任。

访问由本地 DNS 服务器上解析的本地 DNS 域名提供（例如：https://myapp.local/） ，将该地址映射到 192.168.xy

是否有某些提供商可以向我颁发用于内部域名 (myapp.local) 的正确证书？ 或者是我在真实域上使用 FQDN，然后将其映射到本地 IP 地址的唯一选择？

注意：我想要一个不需要在每个浏览器上将服务器公钥标记为可信的选项，因为我无法控制工作站。

Answer 1

您有两个实用的选择：

1. 建立您自己的 CA。 您可以使用 OpenSSL 来完成此操作，并且有大量 Google 信息。

2. 继续使用您的自签名证书，但将公钥添加到浏览器中的受信任证书中。 如果您位于 Active Directory 域中，则可以使用组策略自动完成此操作。

Answer 2

我执行了以下操作，这对我来说效果很好：

我获得了 *.mydomain.com 的通配符 SSL 证书（例如，Namecheap，廉价提供此证书）

我创建了一个 CNAME DNS 记录，将“mybox.mydomain.com”指向“mybox” 。当地的”。

我希望这会有所帮助 - 不幸的是，您需要为您的域名支付通配符证书的费用，但您可能已经拥有了。

Answer 3

你必须向典型的认证人员询问这一点。 为了便于使用，我会使用 FQDN，您可以使用已注册的子域： https://mybox .example.com

另外，您可能想查看通配符证书，为（例如）https://*.example.com/ 提供一揽子证书 - 甚至可用于虚拟托管，如果您需要的不仅仅是这个一张证书。

认证 FQDN 的子域或子子域应该是标准业务 - 也许不适合那些以在短短 2 分钟内提供证书而自豪的点击式大佬。

简而言之：要使证书受到工作站的信任，您必须

• 更改工作站上的设置（您不希望这样做）或
• 使用已经受信任的一方来签署您的密钥（您正在寻找解决方法） ）。

这就是您的全部选择。 选择你的毒药。

Answer 4

我本想将其添加为评论，但它有点长。

这并不是对您问题的真正答案，但在实践中我发现不建议使用 .local 域- 即使是在您的“本地”测试环境中，使用您自己的 DNS 服务器。

我知道当您安装 DNS 时，Active Directory 默认使用 .local 名称，但即使是 Microsoft 的人也说要避免使用它。

如果您可以控制 DNS 服务器，则可以使用 .com、.net 或 .org 域 - 即使它只是内部和私有域。 这样，您实际上可以购买内部使用的域名，然后购买该域名的证书并将其应用到您的本地域。

Answer 5

我有类似的要求，让我们公司的浏览器信任我们的内部网站。

我不希望我们的公共 DNS 为我们的内部站点发布公共 DNS，因此我发现实现这项工作的唯一方法是使用内部 CA。

这是对此的评论，

https://medium.com/@mike.reider/getting-firefox-chrome-to-trust-your-internal-websites-internal-certificate-authority-a53ba2d4c2af

Answer 6

仅用于开发目的

此 docker 映像解决了问题（感谢 local-ip.co）： https:// /github.com/medic/nginx-local-ip。

它在端口 443 中启动反向代理，并使用可与任何 *.my.local-ip.co 域配合使用的公共证书。 例如。 您的本地 IP 是 192.168.10.10 → 192-168-10-10.my.local-ip.co 已经指向它（它是公共域）！ 假设应用程序在您的计算机中的端口 8080 上运行，您只需执行此命令即可代理传递您的应用程序并将其公开在 URL https://192-168-10-10.my.local-ip.co：

$ APP_URL=http://192.168.10.10:8080 docker-compose up

使用您在设备中配置的任何公共 DNS 解析该域您想要访问应用程序，但您的流量在应用程序和客户端之间保持本地（通过代理），因此您甚至可以使用它与同一 LAN 网络内的设备连接，而无需任何流量传至互联网，所有流量都是本地的。

对开发最有用的原因是任何人都可以使用相同的证书启动应用程序，因此并不真正安全，但当您在开发或测试时需要使用 HTTPS 公开您的应用程序时很有帮助（例如，Android 中加载的 HTML5 应用程序）与网络视图）。

Answer 7

我认为答案是否定的。

开箱即用的情况下，浏览器不会信任证书，除非它最终由浏览器中预编程的人员（例如 verisign、register.com）进行验证。

您只能获得全球唯一域的经过验证的证书。

因此，我建议您使用 myapp.local.yourcompany.com 而不是 myapp.local，只要您拥有 yourcompany.com，您就应该能够获得证书。 你想，每年要花几百美元。

另请注意，通配符证书可能只会下降到一级 - 因此您可以将其用于 a.yourcompany.com 和 local.yourcompany.com，但可能不能用于 bayourcompany.com 或 myapp.local.yourcompany.com，除非您支付更多费用。

（有谁知道，这是否取决于通配符证书的类型？主要浏览器是否信任子子域？）