Kann ich ein gethttpsforfree verwenden, um ein gültiges Zertifikat für locahost oder eine Intranet-Domäne zu erstellen?

1048
ton

Ich habe eine WebApp, die in einer öffentlichen Domäne mit einem SSL-Zertifikat ausgeführt wird, das von https://gethttpsforfree.com/ bereitgestellt wird.

Es wirkt wie ein Zauber.

Das Problem ist, dass ich manchmal diese webapp direkt auf den Clientservern in Intranet-Netzwerken (nicht in meiner Domäne) installieren muss und dass sie für ein bestimmtes Hostname im Client-Intranet ein anderes Zertifikat benötigen.

Da ich weder meinen echten privaten Domänenschlüssel freigeben noch Sicherheitsausnahmen für jeden verbundenen Client-Browser hinzufügen möchte, wie kann ich dieses Problem lösen?

In Schritt 2 von https://gethttpsforfree.com/ kann ich andere Domains hinzufügen, die gesichert werden sollen. Ich denke, es würde das Problem lösen, aber ich bin nicht sicher, ob durch das Erstellen eines neuen Zertifikats mein vorheriges ungültig wird.

Jeder kann mir irgendwelche Tipps geben, wie man dieses Problem herausfindet?

Update: Eigentlich habe ich einen Weg gefunden:

1) Erstellen Sie eine Subdomain in meiner Internetdomäne.

2) Erstellen Sie ein let's-Verschlüsselungszertifikat für diese Unterdomäne (internet.domain.pem und internet.domain.key);

3) Stellen Sie die Web-App (Apache) mit diesem internet.domain.pem und internet.domain.key ein.

4) Legen Sie die Intranet-DNS von internet.domain auf den Intranet-Webapp-Server fest.

Die Zertifikate sind in meinen Docker-Containertests gültig und funktionieren wie erwartet. Ich bin mir jedoch nicht sicher, ob es nicht falsch ist, mit intranet.domain.com ein gültiges Zertifikat zu generieren, das im Intranet verwendet wird und nur das DNS-Intranet ändert.

Kann mir jemand helfen zu sehen, ob ich ein kritisches Sicherheitsproblem habe (und was ist)?

-1
Sie müssen für jeden Client ein neues Zertifikat generieren. Beachten Sie, dass ein LetsEncrypt-Zertifikat nur 3 Monate gültig ist. Für den Erneuerungsprozess sind sowohl Internetzugang als auch spezielle Softwareanforderungen erforderlich. LetsEncrypt-Zertifikate, die für SSL zwischen Clientgeräten verwendet werden können, sind nicht für diesen Zweck gedacht. Wenn Sie Ihr eigenes, von einer Zertifizierungsstelle signiertes, bezahltes Zertifikat erhalten, wird dieses Problem mindestens für die Dauer des Zertifikats gelöst. Ramhound vor 7 Jahren 0
Kann man mir zur Erklärung meiner zukünftigen Fragen sagen, warum das -1 auf diesem Punkt ist? ton vor 7 Jahren 0
Es gibt nichts, was Sie tun können, um diese Frage zu verbessern, denn der Grund für die Abstimmung war der Mangel an Forschung von Ihrer Seite. Ich habe das Gefühl, weil Sie nicht verstehen, wie Let's Encrypt-Zertifikate funktionieren, trotz der großen Menge an Dokumentation und Schulungen, die vorhanden sind, weil Sie darum bitten, etwas zu tun, was eigentlich nicht möglich ist. Um ein Let's Encrypt-Zertifikat verwenden zu können, muss die Inhaberschaft der Domäne von Let's Encrypt überprüft werden, da Sie nicht in der Lage sind, eine Domäne zu besitzen, die nur in einem lokalen Netzwerk vorhanden ist, und dass der Überprüfungsschritt nicht abgeschlossen werden kann. Ramhound vor 7 Jahren 0
@Ramhound, ich glaube zu verstehen, wie "let's encrypt" für das Internet funktioniert. Ich habe nur nach einem Weg gesucht, dies in meinem Webapss-Intranet zu verwenden. Große Dokumente, die Sie zitieren, konzentrieren sich auf Internet-Domains, nicht auf das Intranet. Bitte lies das Update meines Beitrags. Ich möchte Ihre Meinung, bevor Sie es als Antwort posten. ton vor 7 Jahren 0

2 Antworten auf die Frage

3
MrMage

Let's Encrypt (auf dem gethttpsforfree.com basiert) muss überprüfen, ob Sie die Domäne "besitzen", für die Sie ein Zertifikat erstellen möchten, indem Sie entweder einen öffentlichen DNS-Eintrag für die Domäne festlegen oder eine bestimmte Datei erstellen, die über HTTP unter erreichbar ist diese Domain (siehe https://letsencrypt.org/how-it-works/ ).

Da es sich jedoch um eine Intranet-Domäne handelt, ist sie naturgemäß nicht öffentlich zugänglich. Dies bedeutet, dass Let's Encrypt keine dieser Methoden zum Überprüfen der Domäne verwenden kann. Daher können Sie auf diese Weise kein Zertifikat generieren. Selbst wenn Sie in Schritt 2 zusätzliche Domänen hinzufügen, müssen diese auf die gleiche Weise überprüft werden.

Die einzige Option, die ich kenne, ist, eine eigene Zertifizierungsstelle zu erstellen, die Client-Browser dieser Zertifizierungsstelle vertrauen zu lassen und dann eigene Zertifikate für die betreffenden Domänen zu generieren. Ich denke, Sie haben in der Frage angegeben, dass Sie dies vermeiden wollten.

0
ton

Ich habe einen Weg gefunden:

1) Erstellen Sie eine Subdomain in meiner Internetdomäne.

2) Erstellen Sie ein let's-Verschlüsselungszertifikat für diese Subdomain ( intranet.domain.com.pemund intranet.domain.com.key);

3) Setze die Webapp (Apache) mit diesem intranet.domain.com.pemund intranet.domain.com.key;

4) intranet.domain.comLegen Sie die Intranet-DNS des Intranet-WebApp-Servers fest.

Dann habe ich jetzt ein gültiges signiertes und vertrauenswürdiges Zertifikat in meinem Intranet.

Verwandte Probleme