据我了解,从 2015 年起,内联网 ssl 证书将不再可用,为了解决这个问题,我可以生成自己的证书以供使用并将其安装在联网计算机上。我的问题是,在这种情况下,这是否意味着颁发我自己的证书是不好的做法?我想不出任何其他解决方案。
最佳答案
据推测,“Intranet 证书”是指颁发给本地主机名(例如“sqlserver”或“mail”)或私有(private) IP 的证书地址。
对此有一个简单的解决方案:使用完全限定的域名,即使是在 Intranet 中也是如此。连接到 Intranet 服务器的客户端也需要使用 FQDN,但这通常不是很困难。即使 DNS 服务器托管在公司网络外部,也没有什么可以阻止您将 DNS 解析 myinternalserver.mycompany.com 到您想要的任何 IP 地址(包括私有(private) IP 地址)。 (对于 SSL/TLS 验证,您甚至不需要反向 DNS 即可工作,因此这不是问题。)
管理您自己的 CA 也是一种解决方案,但它可能会带来相当大的管理负担(取决于您的环境的大小)。
(从安全角度来看,我认为这些 Intranet 证书无论如何都不应该真正存在,因为两个完全不同的实体可能会颁发对相同(相对)身份有效的不同证书。)
关于ssl - 内联网上的 HTTPS,正确的做法是什么,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19242614/