因此,据我了解,Intranet ssl证书将从2015年起不再可用,而是为了解决此问题,我可以生成自己的证书以供使用并将其安装在联网的计算机上。我的问题是,在这种情况下,这是否意味着颁发我自己的证书将是一种不好的做法?我想不出任何其他解决方案。
最佳答案
假定“内部网证书”是指颁发给本地主机名(例如“ sqlserver
”或“ mail
”)或专用IP地址的证书。
有一个简单的解决方案:即使在Intranet中,也使用完全限定的域名。连接到您的Intranet服务器的客户端也将需要使用FQDN,但这通常并不困难。也没有什么可以阻止您将DNS解析为您想要的任何IP地址(包括私有IP地址)的myinternalserver.mycompany.com
,即使DNS服务器托管在公司网络之外。 (对于SSL / TLS验证,您甚至不需要反向DNS即可工作,因此这不是问题。)
管理您自己的CA也是一种解决方案,但是它可能会带来相当多的管理负担(取决于您的环境大小)。
(从安全的角度来看,我认为这些Intranet证书都不应该真正存在,因为可能会为两个完全不同的实体颁发针对相同(相对)身份有效的不同证书。)
关于ssl - Intranet上的HTTPS,正确的做法是什么,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/19242614/