内联网 Web 应用程序的 http 或 https 身份验证

Question

我正在开发一个 Intranet 应用程序，我想进行安全身份验证。

一种方法是使用“https”。问题是服务器没有受信任的证书，因此对客户端来说有点烦人，因为浏览器不信任证书并抱怨可怕的消息。

但它可以与“摘要式访问身份验证”结合使用

使用http会泄露用户密码， 思考？

Answer 1

这些是（您）我们的选项：

1. 如果您主要拥有 Windows 主机，您可以 分发证书
   使用组策略连接到客户端计算机微软
   文档
   并以这种方式使用您自己的自签名证书。

   • 非 Windows 用户或不在域中的 Windows 计算机必须
     经历安装的麻烦和警告
     手动正确证书或允许自签名证书。
     用户体验不佳。

2. 您使用正确的域名、真实的证书和混乱的 DNS
   配置，其中 www.mycompany.com 解析为外部站点，
   但 wiki.mycompany.com 是一个内部站点（但是请不要将内部站点
   外部可见的 DNS 记录中 wiki.mycompany.com 的地址！）

3. 您根本不使用 HTTPS，而是使用 HTTP。可能通过发明你的
   登录页面拥有自己的安全性（哎呀！）

它们都很糟糕。

特别是如果您想要分发企业级现场应用程序，并且您事先不知道客户的网络和 DNS 配置。

Answer 2

自 2015 年 11 月起，您可以'不购买内部域的证书，据我所知，唯一的选择是在客户端上预安装证书。这不是一个很好的解决方案。

如果您想保持内部域的私密性，另一种方法是创建一个公共域：mycompany.com，然后在内部运行您自己的 DNS 服务器来解析您的内部域：accounting.internal.mycompany.com 、hr.internal.mycompany.com 等。那么我相信您可以使用 mycompany.com 的通配符证书。我还没有测试过这个解决方案。

Answer 3

2023 更新

云供应商允许您自动为非公共域配置 SSL 证书（例如 AWS 证书管理器）。还有自托管的私有证书管理器，例如这个。

强烈建议使用用于 Intranet/内部云连接的 SSL，并且 PCI 和 SOC 2 认证可能需要 SSL。

2009答复

购买域名和可信证书？如果你货比三家的话，它们真的不再那么贵了。

话虽如此，摘要访问身份验证对于身份验证来说相当安全。使用 http 而不是 https，您通过网络发送的所有信息都将是纯文本，即使密码不是纯文本。任何可以将笔记本电脑插入运行 WireShark 等应用程序的 Intranet 的人都可以查看来回发送的所有信息。如果您关心信息不被泄露，http 将无法满足您的需求。

Answer 4

您有以下选择：

1. 购买受信任的证书。

2. 或者，生成您自己的根证书，将其安装在所有 Intranet 计算机上的浏览器中（您应该能够执行此操作，因为它是 Intranet），生成使用您自己的根证书签名的您自己的服务器证书。这实际上是公司经常做的事情。

注意：如果您想要表单身份验证（带有用户、密码的 HTML 表单、使用应用程序视觉样式的登录页面、更好的错误密码错误报告、可能的附加功能，例如“记住我”），摘要访问身份验证没有帮助或“忘记密码”）。

Answer 5

如果您需要完全安全，您应该购买 SSL 证书。

从您提供的 wiki 链接来看：

缺点

摘要式访问身份验证旨在作为一种安全权衡；它的目的是取代非常弱的未加密的 HTTP 基本访问身份验证。但是，它并不是要取代强身份验证协议，例如公钥或 Kerberos 身份验证。

我想这就是你的答案:)