web-dev-qa-db-fra.com

Certificat HTTPS pour usage interne

Je configure un serveur Web pour un système qui doit être utilisé uniquement via HTTPS, sur un réseau interne (pas d'accès du monde extérieur)

À l'heure actuelle, je l'ai configuré avec un certificat auto-signé, et cela fonctionne très bien, sauf pour un avertissement désagréable que tous les navigateurs se déclenchent, car l'autorité de l'autorité de certification utilisée pour le signer n'est naturellement pas fiable.

L'accès est fourni par un nom de domaine DNS local résolu sur le serveur DNS local (exemple: https: //myapp.local/ ), qui mappe cette adresse à 192.168.x.y

Existe-t-il un fournisseur qui peut me délivrer un certificat approprié à utiliser sur un nom de domaine interne (myapp.local)? Ou est-ce ma seule option pour utiliser un nom de domaine complet sur un domaine réel et le mapper plus tard à une adresse IP locale?

Remarque : Je voudrais une option où il n'est pas nécessaire de marquer la clé publique du serveur comme approuvée sur chaque navigateur, car je n'ai aucun contrôle sur les postes de travail.

50
Pablo Alsina

J'ai fait ce qui suit, ce qui a bien fonctionné pour moi:

J'ai obtenu un certificat SSL générique pour * .mydomain.com (Namecheap, par exemple, fournissez-le à moindre coût)

J'ai créé un enregistrement DNS CNAME pointant "mybox.mydomain.com" sur "mybox.local".

J'espère que cela aide - malheureusement, vous aurez les frais d'un certificat générique pour votre nom de domaine, mais vous l'avez peut-être déjà.

12
Paul Higgins

Vous avez deux options pratiques:

  1. Montez votre propre CA. Vous pouvez le faire avec OpenSSL et il y a beaucoup d'informations sur Google.

  2. Continuez à utiliser votre certificat auto-signé, mais ajoutez la clé publique à vos certificats de confiance dans le navigateur. Si vous êtes dans un domaine Active Directory, cela peut être fait automatiquement avec la stratégie de groupe.

27
spoulson

Il faudrait demander cela aux gens de cert typiques. Pour plus de facilité, j'obtiendrais avec le nom de domaine complet, vous pouvez utiliser un sous-domaine à celui déjà enregistré: https://mybox.example.com

Vous pouvez également consulter les certificats génériques, fournissant un certificat de couverture pour (par exemple) https: //*.example.com/ - même utilisable pour l'hébergement virtuel, si vous avez besoin de plus que ce seul certificat.

La certification des sous- ou sous-sous-domaines du nom de domaine complet devrait être une activité standard - peut-être pas pour les gros gars point & click qui se targuent de fournir les certificats en seulement 2 minutes.

En bref: pour que le certificat soit approuvé par un poste de travail, vous devez soit

  • modifier les paramètres des postes de travail (dont vous ne voulez pas) ou
  • utilisez une partie déjà digne de confiance pour signer votre clé (que vous cherchez à contourner).

C'est tous vos choix. Choisissez votre poison.

5
Olaf Kock

j'aurais ajouté ça en commentaire mais c'était un peu long ..

Ce n'est pas vraiment une réponse à vos questions, mais dans la pratique, j'ai constaté qu'il n'est pas recommandé d'utiliser un domaine .local - même s'il se trouve dans votre environnement de test "local", avec votre propre serveur DNS.

Je sais qu'Active Directory utilise le nom .local par défaut lorsque vous installez DNS, mais même les gens de Microsoft disent de l'éviter.

Si vous contrôlez le serveur DNS, vous pouvez utiliser un domaine .com, .net ou .org - même s'il est interne et privé uniquement. De cette façon, vous pouvez réellement acheter le nom de domaine que vous utilisez en interne, puis acheter un certificat pour ce nom de domaine et l'appliquer à votre domaine local.

5
user67143

je pense que la réponse est non.

prêts à l'emploi, les navigateurs ne font confiance aux certificats que s'ils sont finalement vérifiés par une personne préprogrammée dans le navigateur, par ex. verisign, register.com.

vous ne pouvez obtenir un certificat vérifié que pour un domaine unique au monde.

je suggère donc au lieu de myapp.local que vous utilisiez myapp.local.yourcompany.com, pour lequel vous devriez pouvoir obtenir un certificat, à condition que vous soyez propriétaire de yourcompany.com. cela vous coûtera plusieurs centaines de dollars par an.

soyez également averti que les certificats génériques peuvent ne descendre qu'à un seul niveau - vous pouvez donc les utiliser pour a.yourcompany.com et local.yourcompany.com mais peut-être pas bayourcompany.com ou myapp.local.yourcompany.com, sauf si vous payez plus.

(Est-ce que quelqu'un sait, cela dépend-il du type de certificat générique? Les sous-sous-domaines sont-ils approuvés par les principaux navigateurs?)

0
Partly Cloudy