我们正在尝试使用 SSL 保护内部网站。目前,我们正在使用不受网站用户信任的自签名证书。
是否可以从受信任的 CA 购买证书并在内部网络中使用它?
答案1
是的,当然 - 只是不要忘记,一些 CA 会要求提供有效的电子邮件地址确切地域名认证,因此您要么需要一个外部可见的主机名到您的内部网站,要么获得通配符证书(这仍然需要一个可访问的电子邮件地址,但不需要您向外部公开您的整个内部 DNS 区域。相当昂贵......)
对于更现代的方式,谷歌搜索“Intranet ssl 证书”会找到一些供应商......建议肯定会“过于本地化”。
答案2
您没有提到您设置的网络类型,但这里的替代方法是简单地将您的自签名证书部署为受信任的证书。
如果您使用的是 Windows,使用 GPO 策略可以很容易地做到这一点。我相信对于非 Windows 客户端也有其他部署方法,但它们可能不那么简单。但最终,部署内部证书服务器是关键,因为这样您就可以信任您需要颁发的任何证书。
简单部署自签名证书为您提供了一个非常简单的解决方案,无需每年支付公共证书的费用。显然,如果您打算将内部网站扩展为外部网站,那么这对您来说不太合适。