Могу ли я использовать gethttpsforfree для создания действительного сертификата для домена locahost или intranet?

1048
ton

У меня есть веб-приложение, работающее в свободном доступе с использованием сертификата SSL, предоставленного https://gethttpsforfree.com/

Отлично работает.

Проблема в том, что иногда мне нужно установить это веб-приложение непосредственно на клиентских серверах в сетях интрасети (не в моем домене), и ему нужны другие сертификаты для определенного имени хоста в интрасети клиентов.

Поскольку я не хочу делиться личным ключом реального домена и не добавлять исключения безопасности для каждого подключенного клиентского браузера, как решить эту проблему?

На шаге 2 https://gethttpsforfree.com/ я могу добавить другие защищаемые домены, думаю, это решит проблему, но не уверен, что создание нового сертификата лишит законной силы мой предыдущий сертификат.

Кто-нибудь может дать мне какие-нибудь советы, как решить эту проблему?

Обновление: Собственно, я нашел способ:

1) Создать поддомен в моем интернет-домене;

2) Создать зашифрованный сертификат для этого субдомена (internet.domain.pem и internet.domain.key);

3) Установите веб-приложение (apache) с помощью этих internet.domain.pem и internet.domain.key;

4) Настройте DNS внутренней сети Internet.domain на сервер веб-приложений внутренней сети.

Сертификаты действительны в моих тестах док-контейнеров, работали, как ожидалось. Но я не уверен, если нет ничего плохого в использовании intranet.domain.com для создания действительного сертификата для использования в интрасети только при изменении DNS интрасети.

Может ли кто-нибудь помочь мне понять, не возникает ли у меня критическая проблема безопасности (и что это такое)?

-1
Вы должны сгенерировать новый сертификат для каждого клиента, обратите внимание, что сертификат LetsEncrypt действителен только в течение 3 месяцев, а процесс обновления требует как доступа в Интернет, так и особых требований к программному обеспечению. Сертификаты LetsEncrypt, хотя они могут использоваться для SSL между клиентскими устройствами, не предназначены для этой цели. Получение собственного платного сертификата, подписанного центром сертификации, решит эту проблему как минимум на протяжении срока действия сертификата. Ramhound 7 лет назад 0
Чтобы улучшить мои будущие вопросы, может кто-нибудь сказать мне, почему -1 на этом? ton 7 лет назад 0
Вы ничего не можете сделать, чтобы улучшить этот вопрос, потому что причиной голосования было отсутствие исследований с вашей стороны. Я чувствовал, что, поскольку вы не понимаете, как работают сертификаты Let's Encrypt, несмотря на огромное количество документации и обучения, которые существуют для них, вы просите сделать что-то, что на самом деле невозможно. Чтобы использовать сертификат Let's Encrypt, право собственности на домен должно быть подтверждено фондом Let's Encrypt, так как вы не можете подтвердить, что являетесь владельцем домена, который существует только в локальной сети, что этап проверки не может быть завершен. Ramhound 7 лет назад 0
@Ramhound, я думаю, понимаю, как «давайте шифровать» работает в Интернете, я просто искал способ использовать это в моей интрасети webapss. Огромные документы, которые вы цитируете, ориентированы на интернет-домены, а не на интранет. Пожалуйста, прочтите обновление моего поста. Я хочу, чтобы ваше мнение было опубликовано в ответе. ton 7 лет назад 0

2 ответа на вопрос

3
MrMage

Let's Encrypt (на котором основан gethttpsforfree.com) необходимо подтвердить, что вы «владеете» доменом, для которого вы пытаетесь сгенерировать сертификат, либо установив общедоступную запись DNS для домена, либо создав конкретный файл, доступный через HTTP на этот домен (см. https://letsencrypt.org/how-it-works/ ).

Однако, поскольку речь идет о домене интрасети, он по своей природе не является общедоступным. Это означает, что Let's Encrypt не может использовать ни один из этих методов для проверки домена, поэтому вы не можете сгенерировать сертификат таким образом. Даже при добавлении дополнительных доменов на шаге 2 их необходимо проверить таким же образом.

Единственный известный мне вариант - создать свой собственный центр сертификации, заставить браузеры клиентов доверять этому ЦС, а затем сгенерировать собственные сертификаты для рассматриваемых доменов, но я думаю, что вы указали в вопросе, что хотели избежать этого.

0
ton

Я нашел путь:

1) Создать поддомен в моем интернет-домене;

2) Создать зашифрованный сертификат для этого субдомена ( intranet.domain.com.pemи intranet.domain.com.key);

3) Установите веб-приложение (apache) с этим intranet.domain.com.pemи intranet.domain.com.key;

4) Установите днс intranet.domain.comинтрасети на интранет-сервере веб-приложений;

Затем у меня есть действующий подписанный и доверенный сертификат, работающий в моей интрасети.

Похожие вопросы