Как защитить соединение веб-портов в локальной сети с помощью tls / ssl? [Дубликат]

Вы должны спросить у типичных людей сертификатов. Для удобства использования я получил бы с FQDN, но вы могли бы использовать поддомен для уже зарегистрированного: https://mybox.example.com

Также вы можете хотите посмотреть подстановочные сертификаты, предоставляя полный сертификат для (например) https: //*.example.com/ - даже пригодный для виртуального хостинга, если вам нужно больше, чем только этот сертификат.

Certifying суб- или суб-поддомены FQDN должны быть стандартным бизнесом - возможно, не для точки и нажмите больших парней, которые гордятся тем, что предоставляют сертификаты всего за 2 минуты.

В short: Чтобы сделать сертификат, которому доверяет рабочая станция, вам придется либо

• изменить настройки на рабочих станциях (которые вы не хотите), либо
• использовать уже

Это все ваши варианты. Выберите свой яд.

Я думаю, что ответ НЕТ.

вне коробки, браузеры не будут доверять сертификатам, если это в конечном счете не будет проверено кем-либо, предварительно запрограммированным в браузере, например. verisign, register.com.

вы можете получить только проверенный сертификат для глобально уникального домена.

, поэтому я бы предложил вместо myapp.local вы используете myapp.local.yourcompany .com, для которого вы должны иметь возможность получить сертификат, если у вас есть собственный comcompany.com. это будет стоить вам несколько сотен в год.

также следует предупреждать, что подстановочные сертификаты могут переходить только на один уровень - так что вы можете использовать его для a.yourcompany.com и local.yourcompany.com но, возможно, не bayourcompany.com или myapp.local.yourcompany.com, если вы не платите больше.

(знает ли кто-нибудь, зависит ли он от типа подстановочного сертификата? по основным браузерам?)

У вас есть два практических варианта:

1. Встаньте свой собственный СА. Вы можете сделать это с помощью OpenSSL, и там много информации о Google.
2. Продолжайте использовать свой самозаверяющий сертификат, но добавьте открытый ключ в свои доверенные сертификаты в браузере. Если вы находитесь в домене Active Directory, это можно сделать автоматически с помощью групповой политики.

Я бы добавил это в качестве комментария, но он был немного длинным.

На самом деле это не ответ на ваши вопросы, но на практике я нашел что не рекомендуется использовать домен .local, даже если он находится в вашей «локальной» тестовой среде, с вашим собственным DNS-сервером.

Я знаю, что Active Directory использует имя .local по умолчанию, когда ваш установочный DNS, но даже люди из Microsoft говорят, чтобы избежать этого.

Если у вас есть контроль над DNS-сервером, вы может использовать домен .com, .net или .org, даже если он только внутренний и частный. Таким образом, вы можете фактически купить доменное имя, которое вы используете внутренне, а затем купить сертификат для этого доменного имени и применить его к своему локальному домену.