Могу ли я использовать gethttpsforfree для создания действительного сертификата для домена locahost или intranet?

Question

У меня есть веб-приложение, работающее в свободном доступе с использованием сертификата SSL, предоставленного https://gethttpsforfree.com/

Отлично работает.

Проблема в том, что иногда мне нужно установить это веб-приложение непосредственно на клиентских серверах в сетях интрасети (не в моем домене), и ему нужны другие сертификаты для определенного имени хоста в интрасети клиентов.

Поскольку я не хочу делиться личным ключом реального домена и не добавлять исключения безопасности для каждого подключенного клиентского браузера, как решить эту проблему?

На шаге 2 https://gethttpsforfree.com/ я могу добавить другие защищаемые домены, думаю, это решит проблему, но не уверен, что создание нового сертификата лишит законной силы мой предыдущий сертификат.

Кто-нибудь может дать мне какие-нибудь советы, как решить эту проблему?

Обновление: Собственно, я нашел способ:

1) Создать поддомен в моем интернет-домене;

2) Создать зашифрованный сертификат для этого субдомена (internet.domain.pem и internet.domain.key);

3) Установите веб-приложение (apache) с помощью этих internet.domain.pem и internet.domain.key;

4) Настройте DNS внутренней сети Internet.domain на сервер веб-приложений внутренней сети.

Сертификаты действительны в моих тестах док-контейнеров, работали, как ожидалось. Но я не уверен, если нет ничего плохого в использовании intranet.domain.com для создания действительного сертификата для использования в интрасети только при изменении DNS интрасети.

Может ли кто-нибудь помочь мне понять, не возникает ли у меня критическая проблема безопасности (и что это такое)?

Answer 1

Let's Encrypt (на котором основан gethttpsforfree.com) необходимо подтвердить, что вы «владеете» доменом, для которого вы пытаетесь сгенерировать сертификат, либо установив общедоступную запись DNS для домена, либо создав конкретный файл, доступный через HTTP на этот домен (см. https://letsencrypt.org/how-it-works/).

Однако, поскольку речь идет о домене интрасети, он по своей природе не является общедоступным. Это означает, что Let's Encrypt не может использовать ни один из этих методов для проверки домена, поэтому вы не можете сгенерировать сертификат таким образом. Даже при добавлении дополнительных доменов на шаге 2 их необходимо проверить таким же образом.

Единственный известный мне вариант - создать свой собственный центр сертификации, заставить браузеры клиентов доверять этому ЦС, а затем сгенерировать собственные сертификаты для рассматриваемых доменов, но я думаю, что вы указали в вопросе, что хотели избежать этого.

Answer 2

Я нашел путь:

1) Создать поддомен в моем интернет-домене;

2) Создать зашифрованный сертификат для этого субдомена (intranet.domain.com.pem и intranet.domain.com.key);

3) Установите веб-приложение (apache) с помощью этих intranet.domain.com.pem и intranet.domain.com.key ;

4) Установите DNS для внутренней сети intranet.domain.com на сервер веб-приложений для внутренней сети;

Затем у меня есть действующий подписанный и доверенный сертификат, работающий в моей интрасети.