为隐藏网站申请 SSL 证书

Question 1

如果您有内部网站的 FQDN，那么您在获取证书时不会遇到任何问题。它们现在非常便宜。
如果代理后面的服务器的名称类似于 webserver1.local，那么就别想着使用受信任的 CA 签名的 SSL。在这种情况下，您可以将地址更改为 FQDN 或设置自己的 CA。

如果您的 CA 被攻破，那么您将不得不撤销所有证书！

您的网站是否使用内部 IP 的代理，或者是否可以通过正常的“外部”IP 访问（但受到防火墙的保护）？

为代理提供 SSL 仅意味着代理和服务器之间可能没有加密。这就像“中间人攻击” - 您会信任代理，但不会信任网站。

现在，SSL 是关于信任的。要建立一个适当的内部 CA，然后添加第二个 CA，签署第二个 CA，分发和安装根 CA 证书，维护它们，维护您自己的签名 SSL，这不值得这么麻烦。AlphaSSL 每年约 10 美元，多年折扣。您不必担心建立和保护您自己的 CA、分发证书等 - AlphaSSL 由 GeoTrust 签名，并且受到广泛信任。您也可以使用其他 CA - 这只是一个例子。

Answer

如果您有内部网站的 FQDN，那么您在获取证书时不会遇到任何问题。它们现在非常便宜。
如果代理后面的服务器的名称类似于 webserver1.local，那么就别想着使用受信任的 CA 签名的 SSL。在这种情况下，您可以将地址更改为 FQDN 或设置自己的 CA。

如果您的 CA 被攻破，那么您将不得不撤销所有证书！

您的网站是否使用内部 IP 的代理，或者是否可以通过正常的“外部”IP 访问（但受到防火墙的保护）？

为代理提供 SSL 仅意味着代理和服务器之间可能没有加密。这就像“中间人攻击” - 您会信任代理，但不会信任网站。

现在，SSL 是关于信任的。要建立一个适当的内部 CA，然后添加第二个 CA，签署第二个 CA，分发和安装根 CA 证书，维护它们，维护您自己的签名 SSL，这不值得这么麻烦。AlphaSSL 每年约 10 美元，多年折扣。您不必担心建立和保护您自己的 CA、分发证书等 - AlphaSSL 由 GeoTrust 签名，并且受到广泛信任。您也可以使用其他 CA - 这只是一个例子。

Question 2

为什么要为每个 Web 服务器获取证书？为什么不直接将证书交给代理呢？

如果您需要 Web 服务器和代理之间进行 SSL 通信，请设置私有 CA 并交换公钥。您可以用它作为起点（使用 openssl）

Answer

为什么要为每个 Web 服务器获取证书？为什么不直接将证书交给代理呢？

如果您需要 Web 服务器和代理之间进行 SSL 通信，请设置私有 CA 并交换公钥。您可以用它作为起点（使用 openssl）

为隐藏网站申请 SSL 证书

答案1

答案2

相关内容