Validação de domínio para certificado SSL no servidor interno / offline?

2

Para servidores somente internos que podem ter acesso de saída à Internet, mas para os quais seus serviços da Web estão sendo executados apenas internamente e não podem ser acessados de fora da organização, é possível instalar certificados SSL emitidos por uma autoridade de certificação reconhecida ?

Neste cenário, os nomes de domínio não poderão ser resolvidos fora da organização, mas são FQDNs válidos, por exemplo, eles podem ser subdomínios de um domínio .com real, mas para os quais não há registros DNS públicos e nenhuma intenção de havendo a possibilidade de ser acessado pelo público. Os domínios funcionam internamente devido a entradas nos servidores DNS internos, e o firewall deliberadamente faz com que esses servidores sejam segregados na rede interna.

O uso de um nome de domínio para acessar os serviços da Web é puramente para ajudar os usuários a lembrar o endereço em vez de um endereço IP e um número de porta, e usar SSL seria benéfico para evitar sniffing interno / interceptação de tráfego (incluindo detalhes de login) e desses serviços da Web.

Em vez de se comprometer imediatamente com a compra de um certificado SAN SSL para esses domínios, pensei em testar primeiro um certificado do Let's Encrypt e ver se ele funcionará corretamente. É a etapa de verificação de propriedade do domínio em que fico preso - já que o Let's Encrypt não pode acessar esses serviços sem que eles fiquem disponíveis publicamente e com o DNS público que nem sequer existe para os registros hostname / A.

Se eu fosse criar um registro DNS público e apontá-lo em um servidor diferente que seja publicamente acessível e hospedar esse arquivo para verificação de propriedade, isso seria suficiente para satisfazer o requisito e permitir que eu baixasse e instalasse o certificado manualmente, ou posso ter mais problemas se, posteriormente, eu excluir o registro público DNS e o arquivo de verificação? Eu não usaria o recurso Criptografar certificados nesta circunstância, caso contrário, eu teria que fazer isso a cada 90 dias.

Estou interessado em usar certificados SSL de uma autoridade de certificação em vez de autoassinados para evitar os avisos do navegador, o incômodo de configurar e manter um servidor de certificados interno e ter que instalar uma nova autoridade de certificação em todos os dispositivos clientes.

Alguém aqui usa certificados emitidos por autoridades de certificação (como Thawte, GoDaddy, GeoTrust, InstantSSL, etc.) para servidores internos / privados / offline e, em caso afirmativo, como você gerenciou o processo de Validação de Domínio? Parece que isso é necessário para todos os tipos de SSL - DV, OV, EV - mas, por favor, me corrija se eu estiver errado ou se houver exceções. Existe uma maneira melhor de usar SSL internamente além do que discuti aqui? Obrigado.

    
por richhallstoke 03.03.2017 / 11:41

0 respostas