如何确保 Web 应用example.local
具有与 相同级别的保护example.com
,即主机的真实性和流量加密?
如何在 Linux 服务器和主流浏览器中进行设置?我希望在浏览器中使用同一个证书来保护多个域。
答案1
您有多种选择。
正如 Mathias 上面所建议的,您可以创建自己的 CA 基础设施,并使用自己的 CA 密钥签署自己的 CSR。这样做的优点是便宜/免费,但需要一些技术线索。缺点是您需要在所有客户端上将 CA 根证书安装为全局信任的。此外,许多应用程序不允许您指定根 CA 仅对 DNS 的某些部分受信任,因此您必须非常确定 CA 的安全性,否则您将严重削弱全部这些客户端上设有 SSL。
或者,您可以声明公司 DNS 的一个子区域供内部使用,然后int.example.com
运行水平分割 DNS(这样内部客户端可以解析,mail.int.example.com
而世界其他地方则不能)。大多数大型注册商会允许您证明您控制example.com
一次,然后很乐意为该区域内的 CN 签署任何内容,即使所讨论的 CN 未出现在全局 DNS 中。这样做的好处是您生成的证书应该被所有客户端接受,而无需任何额外工作。缺点是您必须为颁发的每个证书付费,并且由于许多存储桶 SSL 商店不提供此类工作,因此您可能需要支付大型注册商要求的大笔费用。
毫无疑问还有其他选择,其他人可能会将其作为自己的答案发布。通常,这取决于您是愿意花时间还是花钱。选择一个。