Как создать подписанный сертификат для * .local имени?

Question

Моя компания использует .local для интранет-сервисов. Недавно я установил сервер GitHub Enterprise, доступный по github.mycompany.local . К сожалению, кажется невозможным создать подписанный сертификат на таких расширениях.

Я хотел бы найти решение, в котором я мог бы использовать надежный сертификат, принятый как моим веб-браузером, так и локальным Git, без необходимости помещать мой сервер в DMZ.

Какие есть варианты?

Давайте объясним это другими словами. Компания хотела бы иметь веб-службы интрасети, но эти службы должны быть защищены с помощью TLS/SSL. Поскольку они не могут иметь связь с реальным миром, они не могут использовать "стандартный подписанный сертификат". Как они могут сделать это, не сдаваясь и выбрав между:

1. Давайте научим наших сотрудников принимать самозаверяющие сертификаты каждый раз, когда они хотят принимать наши веб-сервисы ...
2. Давайте просто использовать HTTP. Пароли для входа будут обмениваться в открытом виде, но никто не будет пытаться взломать компанию изнутри ...

Answer 1

Я бы положил деньги на стол и сказал бы, что просто невозможно получить сертификат от авторитетного ЦС для домена .local , по той же причине, по которой вы не сможете получить сертификат для localhost .

Чтобы выдать сертификаты для такого домена, вы можете настроить свой собственный центр сертификации и добавить их в доверенный центр сертификации для своих корпоративных компьютеров. Это зависит от операционной системы, что вовлечено, чтобы заставить это работать. Вы также можете импортировать самозаверяющий CA в ваше локальное хранилище сертификатов, чтобы избавиться от предупреждения.

Грубый ориентир будет:

• Настройте компьютер в качестве CA
• Создать корневой сертификат
• Добавьте сертификат на компьютеры своих компаний в качестве сертификата ЦС, чтобы вопросы, которым занимается ваш ЦС, были доверенными
• Начните выдавать сертификаты или настройте более сложную систему, используя промежуточный центр сертификации.