我正在建立一个包含多个服务器(例如 vaultwarden、jenkins 和 gitlab)的小型网络。
我想使用带有 CA 签名证书的 https。为此,我购买了一个域名(假设为 foobar.com),并且已经获得了 *.hq.foobar.com 的通配符证书。
当我访问https://vaultwarden.hq.foobar.com/我的浏览器没有任何问题,并且证书有效。
毫不奇怪,如果我访问 https://vaultwarden/,浏览器会警告潜在的安全风险,因为颁发的证书仅对 *.hq.foobar.com 中的域有效。
我的问题是,有没有办法避免在我的网络中的所有服务中使用这么长的名称(gitlab.hq.foobar.com,jenkins.hq.foobar.com......),同时保留公共信任的证书?
我想避免使用自签名证书或创建私有 CA,并且必须信任我网络中的所有计算机中的其中任何一个。
公司如何管理这一点?我以前工作过的每个地方都有自签名证书,这对我来说似乎并不安全,但它很方便。
答案1
我的问题是,有没有办法避免在我的网络中的所有服务中使用这么长的名称(gitlab.hq.foobar.com,jenkins.hq.foobar.com......),同时保留公共信任的证书?
不可以。Internet PKI 不允许使用 NetBIOS(仅限主机名)。每个证书都是针对指定域中的主机名(或通配符情况下的所有主机)颁发的。您必须证明该域的所有权。
在您的情况下,https://vaultwarden/被视为单标签vaultwarden域,而不是主机名。单标签域也不允许,您无法证明其所有权,也无法购买。这意味着您无法使用从全球受信任的 CA 获得的证书来执行此操作。
与使用自签名证书相比,使用仅在您管理的环境内受信任的私有 CA 会更方便。