HTTPS через частную сеть

Question

Мой веб-сервер работает через локальную сеть (это означает, что у меня нет общедоступного IP-адреса (доменного имени), чтобы передать его центру сертификации для получения SSL для меня). Мой IP-адрес является частным (10.100.10.239), но услуга предоставляется через интернет-провайдера (моя локальная сеть подключена к интернет-провайдеру некоторыми средствами, которые я не знаю) своим клиентам в филиале. Итак, возможно ли реализовать SSL на моем веб-сервере? (веб-сервер с частным IP-адресом) Если да, то как?

Спасибо.

Answer 1

Как отметил Дарт, сертификаты SSL основаны на полных доменных именах, а не на IP-адресах.

Таким образом, возникает вопрос, реализуете ли вы внутренний DNS для этого сервера таким образом, чтобы независимо от того, какое имя хоста было разрешено в вашем домене? Например, если ваш домен - example.com, а ваш веб-сервер называется web, если вы выполняете поиск DNS для web.example.com, он разрешает? И чтобы быть ясным, поскольку вы заявляете, что все это в частной, а не общедоступной сети, вы захотите проверить эти записи DNS внутри, а не снаружи (используйте nslookup с машины Win или копайте с машины * nix ).

Предполагая, что вы используете DNS-записи для внутреннего использования, вы можете сгенерировать CSR (запрос на подпись сертификата) со своего веб-сервера для полного доменного имени web.example.com. Вы предоставляете этот CSR в центр сертификации по вашему выбору, и он генерирует сертификат SSL, который затем будет установлен на вашем веб-сервере.

В качестве альтернативы, в зависимости от того, «если» существует большая потребность в внутренних сертификатах, вы можете создать свой собственный центр сертификации и выдать свои собственные сертификаты. Было бы дополнительным шагом необходимости публикации ваших сертификатов CA в браузерах всех ваших внутренних компьютеров, чтобы они распознавали эмитента сертификатов SSL и не получали предупреждения сертификатов. Это будет гораздо больше работы и действительно стоит только если вы будете использовать инфраструктуру CA для других нужд.

И последнее, но не менее важное, как упомянул Santeador, вы можете просто создать самоподписанный сертификат на самом сервере, и ваши пользователи просто должны будут доверять этому сертификату. Недостатком самозаверяющих сертификатов является то, что нет цепочки сертификатов, которая могла бы проверить их выдачу, поэтому все зависит от того, насколько безопасным вы хотели бы быть.

Дополнение: Сроки это все. Прочитал и наткнулся на это, что могло бы помочь вам, если вы хотите пойти по самоподписанному маршруту (при условии, что вы работаете в Linux с Apache и не используете IIS:
http://www.tecmint.com/enable-ssl-for-apache-on-centos/

Answer 2

Сертификаты SSL не заботятся об IP-адресах, только имена хостов (доменные имена). Подпишите любое имя хоста, которое у вас есть, которое оно использует для доступа к вашему веб-серверу (при условии, что у вас есть собственное имя хоста)