HTTPS em rede privada

Question

HTTPS em rede privada

#1 resposta do (2 votos)
#2 resposta do (0 votos)

2

Meu servidor da Web é executado em uma LAN (ou seja, não tenho um endereço IP público (nome de domínio) para fornecer a uma Autoridade de Certificação para que o SSL funcione para mim). Meu IP é privado (10.100.10.239), mas o serviço é fornecido por meio do ISP (minha LAN está conectada ao ISP por algum meio que não conheço) para os clientes da minha filial. Então, é possível implementar SSL no meu servidor web? (Um servidor web com um endereço IP privado) Se sim, como?

Obrigado.

ssl

por Yars 01.08.2014 / 09:01

2 respostas

Tags ssl

Como adicionar conectores de energia SATA adicionais? daltonismo e prompt de comando do Windows

score 2 · Answer 1

Como Darth mencionou, os certificados SSL confiam nos endereços FQDN (nomes de domínio totalmente qualificados) e não nos endereços IP.

Então, a pergunta é: você está implementando DNS interno para esse servidor, de forma que qualquer nome de host seja resolvido em seu domínio? Por exemplo, se o seu domínio é example.com e seu servidor da Web for chamado de web, se você fizer uma pesquisa de DNS para web.example.com, isso resolverá? E para ficar claro, como você está afirmando que tudo isso está em uma rede privada e não voltada para o público, você vai querer verificar esses registros DNS internamente, não externamente (use nslookup de uma máquina Win, ou pesquise em uma máquina * nix). ).

Supondo que você esteja usando registros DNS internamente, você pode gerar um CSR (Certificate Signing Request) de seu servidor da Web para o FQDN web.example.com. Você fornece esse CSR à autoridade de certificação de sua escolha e ele gera o certificado SSL que você instalará no servidor da Web.

Como alternativa, dependendo de 'if', há maiores necessidades internas de certificado, você pode criar sua própria autoridade de certificação e emitir seus próprios certificados. Haverá uma etapa extra de precisar publicar seus certificados de CA nos navegadores de todos os seus computadores internos para que eles reconheçam o emissor dos certificados SSL e não recebam os avisos de certificados. Isso seria muito mais trabalho e realmente valeria a pena se você utilizasse a infraestrutura de CA para outras necessidades.

Por último, mas não menos importante, como Santeador mencionou, você poderia criar um certificado auto-assinado do próprio servidor e seus usuários simplesmente teriam que confiar no certificado. A desvantagem dos certificados auto-assinados é que não há cadeia de certificados para verificar sua emissão, então tudo depende de quão seguro você gostaria de estar.

Adição: Tempo é tudo. Estava fazendo algumas leituras e consegui chegar até a rota auto-assinada (supondo que você esteja no Linux executando o Apache e não executando o IIS: link

score 0 · Answer 2

Certificados SSL não se importam com endereços IP, apenas nomes de host (nomes de domínio). Assine qualquer nome de host que você esteja usando para acessar seu servidor da Web (supondo que você tenha o mesmo nome de host)