Intranet Web 服务器的 SSL 证书

【问题标题】:SSL certificate for intranet web serversIntranet Web 服务器的 SSL 证书
【发布时间】:2013-11-01 04:01:00
【问题描述】:

我有兴趣为我的公共域(例如 example.com)购买通配符 SSL 证书,以便我们可以使用公认的 CA(例如 GoDaddy)运行 Intranet Web 服务器。我确实计划公开发布 DNS 名称(例如 internal.example.com),但它们的 IP 地址实际上是 LAN 地址(例如 192...*)。我们想使用公共 DNS,因为这些 Web 服务器实际上可能是在四处移动的开发笔记本电脑,因此我们将使用动态 DNS 来更新。我们的目的是让这些 Web 服务器仅在每个当前运行的 LAN 上可用。

这是否适用于所有客户端,例如 TLS v1.2?

谢谢。

【问题讨论】:

    标签: ssl ssl-certificate


    【解决方案1】:

    只要客户端可以将他们的流量路由到这些 IP 地址,它就可以工作(当然,否则您将无法获得连接)。

    证书验证依赖两点:

    • 及时验证证书的真实性、可信性和有效性。

    • 验证证书的身份是否与您要查找的内容相匹配(主机名验证)。

    这并不取决于DNS解析机制如何。这些机制也与 SSL/TLS 规范正交(尽管它们确实建议验证远程方的身份)。

    我已经看到在各种客户端和平台(IE、Chrome、FF、Windows/Linux/Mac 上的 Java 客户端)上使用了这种设置,并且效果很好。

    当然,很难保证所有 实现是否都能很好地做到这一点。例如,可能有一些实现认为执行反向 DNS 查找是个好主意。

    【讨论】:

    • 谢谢布鲁诺。你的回答似乎合乎逻辑,是我最初的希望。我只是不确定,因为从粗略阅读科技新闻看来,最近的 TLS 实施变得越来越严格。 (事实上​​,我们在我们的开发服务器上使用自签名证书,并且在我们的 iOS 应用程序(即客户端)中有一个特殊的调试模式,它会自动信任 SSL 证书。但是 iOS 7 使他们的 TLS 实现更加严格,我们无法找到一种方法让它信任我们的证书。)我计划继续实施并跟进这个线程的结果。
    • 我刚刚验证它确实有效。我在 OX 10.8.5 Chrome 30 和 iOS 7 UIWebView 上尝试过。
    猜你喜欢
    • 2013-05-24
    • 2015-12-15
    • 2014-02-23
    • 2013-11-13
    • 2019-01-05
    • 2012-12-04
    • 2020-04-14
    • 1970-01-01
    • 2014-04-10
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode