对于可能出站访问因特网,但其Web服务仅在内部运行并且无法从组织外部访问的仅供内部使用的服务器,是否可以安装经authentication的证书颁发机构颁发的SSL证书?
在这种情况下,域名将不能在组织外parsing,但是是有效的FQDN,例如它们可能是一个真实的.com域的子域,但是没有公共的DNSlogging,并且没有意图存在它可能被公众访问。 由于内部DNS服务器上的条目,域内部工作,防火墙故意将这些服务器分隔在内部networking上。
使用域名访问Web服务纯粹是为了帮助用户记住地址而不是IP地址和端口号,使用SSL将有助于防止内部嗅探/截取stream量(包括login细节)网页服务。
而不是直接购买这些域名的SAN SSL证书,我想我会先尝试Let's Encrypt的证书,看看它能否正常工作。 这是我遇到的域名所有权validation步骤 – 因为让我们encryption不能公开访问这些服务,并且公共DNS甚至不存在主机名/ Alogging。
如果我要创build一个公共DNSlogging,并将其指向另一个可公开访问的服务器,并托pipe该文件以进行所有权validation,那么是否足以满足要求并允许我手动下载和安装证书,或者我如果我随后删除公共DNSlogging和validation文件,可能会遇到更多问题? 在这种情况下,我不会使用“让我们encryption证书”,否则我不得不每隔90天都要这样做。
我有兴趣使用来自证书颁发机构的SSL证书而不是自签名的证书,以避免浏览器警告,设置和维护内部证书服务器以及必须在所有客户机设备上安装新证书颁发机构的麻烦。
是否有其他人在这里使用证书颁发机构颁发的证书(例如从Thawte,GoDaddy,GeoTrust,InstantSSL等)的内部/私人/离线服务器,如果是的话,你如何pipe理域validation过程? 看起来这是所有types的SSL – DV,OV,EV都需要的,但是如果我错了或者有例外,请纠正我。 除了我在这里讨论的内容之外,有没有更好的方式在内部使用SSL? 谢谢。