web-dev-qa-db-fra.com

Crypter le certificat pour le site interne

J'espère éclaircir une certaine confusion que j'ai quant à l'utilisation de crypter pour un site/une application interne. Je n'ai pas été en mesure de trouver cette information ailleurs.

Je souhaite utiliser Crypyt Crypter avec CrtBot pour permettre l'utilisation de SSL sur une application.

Des questions:

  1. Cryptez ou Cerbot nécessitons-ils un accès Internet pour effectuer une partie de leur travail? L'application devra peut-être fonctionner normalement même si l'accès à Internet est en panne. D'après ce que je peux rassembler la seule partie nécessitant une connectivité Internet est de générer de nouveaux certs lorsque la période de 90 jours se termine à une fin.
  2. Cryptons nécessite un domaine valide. Par leur site Web "Pour tout serveur utilisant un nom de domaine, comme des serveurs Web, des serveurs de messagerie, ...". Je suis plutôt ignorant de savoir ce que cela signifie d'avoir un domaine valide. Si j'ai Apache sur mon serveur qui héberge déjà d'autres applications Web, tout nom de domaine que j'ai configuré avec Apache Count ou dois-je acheter un nom de domaine?
  3. Dans la question précédente, j'ai mentionné d'autres applications seront sur ce serveur. Celles-ci ne nécessitent pas SSL. Si je configurais, crypy et Certbot sur mon serveur, cela signifie-t-il que ces applications ont la SSL disponible ou est-elle spécifique au nom du domaine (site) utilisé pour la configurer? Est-ce que l'une de ces autres applications nécessite une modification si une application distincte utilise SSL?
  4. Hypothétiquement disons que je veux obtenir un certificat racine, mais au lieu d'utiliser cela avec CrèsBot, je souhaite créer et utiliser un ensemble de clés intermédiaires. Est-ce possible? Ces touches intermédiaires devraient-elles être modifiées à chaque fois que nous créons une nouvelle clé racine?

Je m'excuse si certaines de mes questions sont ignorantes, ma connaissance de ce type de choses est très limitée. Cela dit, il peut même y avoir de meilleures options pour accomplir ce dont j'ai besoin pour que je suis ouvert aux suggestions. J'ai opté pour crypter sur un certificat auto-signé car avec cette solution, je n'aurais pas besoin d'ajouter une CA à chaque ordinateur client qui a besoin d'accès.

sslssl-certificatehttpslets-encrypt
5
Newb 4 You BB

  1. Crypterons nécessitent une connectivité Internet, mais cela est nécessaire par l'effort Isrg qui l'exécute. CertBot (qui s'exécute sur votre ordinateur) communique avec le chiffrement de la création et de la renouvellement des certificats et nécessite une connectivité de votre ordinateur.

  2. Un nom de domaine valide (dans le cas de crypter) est un domaine que vous configurez qui peut être résolu par l'infrastructure DNS globale - en pratique, cela signifie à l'aide d'un nom de domaine acheté ou d'un sous-domaine lié à un nom de domaine acheté (bien qu'il est possible d'obtenir des domaines gratuits de certains registres obscurs tels que www.tk)

  3. Les applications doivent être configurées pour utiliser les touches Encrypypt SECYPYPYPT. Tout ce que CrtBot est (a) avoir un ensemble de clés que presque tous les navigateurs acceptent et (B) signes des clés après avoir vérifié que le propriétaire de La clé est également en contrôle du DNS pour la clé signée. Lorsque CrtBot puisse être utilisé avec Apache/NGinx, et cela est facile, il ne nécessite que non plus de logiciel. De même la sortie de CertBot (en outre Pour les fichiers de configuration facultatifs si vous le souhaitez, mais n'est en aucun cas obligatoire), est une clé publique signée. Cette clé privée, ainsi que la clé privée (et toutes les clés intermédiaires), chiffrerons généralement pour vous pouvez être utilisée par n'importe quel logiciel que vous utilisez pouvant utiliser SSL, reconnaît que nous reconnaissons également en tant que CA et reconnaît le format de fichier. Cela doit être configuré dans le logiciel.

  4. Ce que vous demandez est non sensible - si vous avez un certificat racine, vous n'utilisez pas CertBot. Vous pouvez créer votre propre infrastructure de CA à l'aide de la bibliothèque OpenSSL et, si vous souhaitez faciliter, il existe des outils PKI comme Easy-RSA. CertBot n'est pas un registre, ce n'est pas une bibliothèque SSL, il s'agit d'un script de vérifier la propriété d'un nom de domaine de manière compatible standard et la gestion des certificats fournis par SELLY CRYTYPT. Ce n'est pas utile si vous configurez votre propre ca (autorité de certification - qui est ce qu'un certificat racine est tout à propos).

10
davidgo
  1. Oui, pour effectuer tous les défis impliqués dans la création de nouveaux certificats, et c'est tout.
  2. Un "domaine valide" signifie simplement "pas une adresse IP". Crypytons, comme la plupart des émetteurs, n'utiliseront pas d'adresses IP comme sujet du certificat; Ce doit être un domaine.
  3. Tous CertBot Créer des certificats pour tous les noms de domaine qu'il voit dans votre configuration Apache/Nginx. Vous pouvez utiliser la configuration Apache/Nginx pour activer la SSL ou non, ni signaler à un autre certificat. CertBot sera non Forcer votre serveur d'avoir SSL activé ou de la forcer à utiliser ses propres certificats. Bien que cela puisse (éventuellement), écrivez la configuration pour vous pendant le programme d'installation.
  4. Vous pouvez effectuer n'importe quel certificat de certificat comme intermédiaire si vous avez la clé privée et la phrase secrète en option.
2
Jonathan.Rosa