因此,据我了解,从 2015 年起,Intranet ssl 证书将不再可用,为了解决这个问题,我可以生成自己的证书以供使用并将它们安装在联网的机器上。我的问题是,在这种情况下,这是否意味着颁发我自己的证书是不好的做法?我想不出任何其他解决方案。
问问题
1839 次
1 回答
2
据推测,“内联网证书”是指颁发给本地主机名(例如“ sqlserver”或“ mail”)或私有 IP 地址的证书。
有一个简单的解决方案:使用完全限定的域名,即使在 Intranet 中也是如此。连接到您的 Intranet 服务器的客户端也需要使用 FQDN,但这通常不是很困难。即使 DNS 服务器托管在公司网络之外,也没有什么可以阻止您将 DNS 解析myinternalserver.mycompany.com为您想要的任何 IP 地址,包括私有 IP 地址。(对于 SSL/TLS 验证,您甚至不需要反向 DNS 即可工作,所以这不是问题。)
管理您自己的 CA 也是一种解决方案,但它可能会带来相当多的管理负担(取决于您环境的大小)。
(从安全的角度来看,我认为这些 Intranet 证书无论如何都不应该存在,因为可能会为两个完全不同的实体颁发对相同(相对)身份有效的不同证书。)
于 2013-10-08T13:08:27.480 回答