我想确保用户连接尽可能安全。 我们的RDWeb服务器有一个.local的名字(对于这个问题,它将被称为rdweb.contoso.local)和一个公共名称:rdweb.contoso.com
我们从RDAD网站(rdweb.contoso.com)的godaddy获得了ssl溢价。 当用户点击运行remoteapp A时,它连接到rdweb服务器。 到rdweb服务器的连接盒说:“…连接到rdweb.contoso.local”然后要求用户login到rdweb.contosto.local。 成功login后,窗口询问用户是否想继续连接rdweb.contoso.local,因为无法validation。 如果你点击查看证书,你可以看到对于这个连接,我使用的是IIS中创build的自签名证书。 这是安全的吗? RDWeb使用的远程应用程序是一个HR /薪资应用程序,具有敏感的员工信息。
那么,从RDWeb网站到rdweb服务器的连接是自签名证书吗? 我们有rdweb网站本身的高级ssl(rdweb.contoso.com)
如果这个自签名证书对于这种情况是不安全的,那我该如何安全呢? 从godaddy购买.local的SSL?
我们一直在使用这个过程一段时间,而我恰好想到连接的安全性。 我知道这是encryption的,我确实相信证书,因为我知道它来自服务器。 只是想对它的一些想法。
感谢大家。
操作系统:server 2008 r2 Windows 7和2008 r2活动目录环境RDWeb用户从外部位置login到RDWeb到本地networking
这里的解决scheme是让每个人连接到rdweb.contoso.com,而不使用rdweb.contoso.local地址。 在大多数情况下,这将需要拆分DNS或NAT发夹/环回才能正常工作。
通过使用公共名称,您的godaddy SSL证书将正常工作。 由于没有办法certificate所有权(事实上,你不拥有它,但只要在你的局域网上它不会破坏别的东西),任何信誉良好的提供者都不会给你一个签署的任何* .local地址的ssl证书如果其他人在他们的局域网上使用它)。
使用自签名证书是不好的 – 特别是因为它会训练用户完全忽略关于证书无效的警告。 这使得更容易欺骗某人连接到不同的服务或劫持连接。
假设您有godaddy上的contoso.com DNS和活动目录中的contoso.local DNS,则可以将contoso.com添加到AD DNS服务器,并将其所有logging添加到godaddy。 但是,当你到达rdweb,而不是公共IP地址,把私人地址。
或者让你的防火墙/ NAT设备允许来自局域网的连接通过公共地址连接。 这通常被称为NAT发夹,回送或其他一些类似的名称。
使用互联网服务的自签名证书是不专业的。 我们的想法是,我们信任来自GoDaddy或Digicert的证书比我们相信您的自签名证书更多。 它可以由颁发证书颁发机构的在线validation服务器进行validation。 你的自签名不能。 如果您的服务器被盗用,并且有人盗取了您的私钥,那么他们可以伪造一个证书,并为那些被告知信任您的自签证书的毫无戒心的用户在中间玩游戏。 使用自签名证书时,stream量仍然是encryption的,但更多的是信任。
此外,你已经去了,并通过命名你的域名。