我的公司使用.local进行内联网 Web 服务。我最近安装了一个 GitHub Enterprise 服务器,因此可以在 上使用github.mycompany.local。不幸的是,似乎无法在此类扩展上创建签名证书。
我想找到一个解决方案,让我能够使用我的 Web 浏览器和本地 Git 都接受的可信证书,而不必将我的服务器放入 DMZ。
有什么选择?
让我们用不同的语言来解释这一点。一家公司希望拥有内部网 Web 服务,但这些服务必须使用 TLS/SSL 进行保护。由于他们无法连接到现实世界,因此他们无法使用任何“标准签名证书”。他们如何才能做到这一点而不放弃并在两者之间做出选择:
- 让我们教育我们的员工每次想要接受我们的网络服务时都接受自签名证书......
- 我们只需使用 HTTP 即可。登录密码将以明文形式交换,但没有人会试图从内部入侵公司……
答案1
我可以大胆地说,从一个有信誉的 CA 那里获得一个.local域名的证书根本就是不可能的,原因和你无法获得一个证书的原因差不多localhost。
为了为此类域颁发证书,您可以设置自己的 CA 并将其添加到公司计算机的受信任 CA。这取决于操作系统如何实现此操作。您也可以将自签名 CA 导入本地证书存储区以消除警告。
粗略的指导原则是:
- 设置一台机器作为CA
- 创建根证书
- 将证书作为 CA 证书添加到您公司的计算机,以便您的 CA 颁发的证书将受到信任
- 开始颁发证书或使用中间 CA 设置更复杂的系统