对于仅供内部使用的服务器,这些服务器可能具有对 Internet 的出站访问权限,但其 Web 服务仅在内部运行且无法从组织外部访问,是否可以安装由公认的证书颁发机构颁发的 SSL 证书?
在这种情况下,域名将无法在组织外部解析,但它们是有效的 FQDN,例如,它们可能是真实 .com 域的子域,但没有公共 DNS 记录,也不打算让公众访问。由于内部 DNS 服务器上的条目,这些域在内部工作,并且防火墙有意将这些服务器隔离在内部网络上。
使用域名访问 Web 服务纯粹是为了帮助用户记住地址,而不是 IP 地址和端口号,并且使用 SSL 有利于防止内部嗅探/拦截往返于这些 Web 服务的流量(包括登录详细信息)。
我没有立即承诺为这些域名购买 SAN SSL 证书,而是想先尝试一下 Let's Encrypt 的证书,看看它是否能正常工作。我卡在了域名所有权验证步骤 - 因为 Let's Encrypt 无法访问这些服务,因为它们不公开可用,而且主机名/A 记录的公共 DNS 甚至不存在。
如果我创建一个公共 DNS 记录并将其指向另一个可公开访问的服务器并托管该文件以进行所有权验证,这是否足以满足要求并允许我手动下载和安装证书,或者我是否可能会遇到进一步的问题如果我随后删除公共 DNS 记录和验证文件?在这种情况下,我不会使用 Let's Encrypt 证书,否则我必须每 90 天执行一次。
我有兴趣使用来自证书颁发机构的 SSL 证书而不是自签名证书,以避免浏览器警告、设置和维护内部证书服务器的麻烦以及必须在所有客户端设备上安装新的证书颁发机构。
这里还有其他人使用证书颁发机构颁发的证书(例如 Thawte、GoDaddy、GeoTrust、InstantSSL 等)来管理内部/私人/离线服务器吗?如果是,您是如何管理域验证过程的?这似乎是所有类型的 SSL(DV、OV、EV)所必需的,但如果我错了或有例外,请纠正我。除了我在这里讨论的方法之外,还有其他更好的内部使用 SSL 的方法吗?谢谢。