Будет ли какой-нибудь популярный корневой CA подписывать сертификат host.domain.local?
Мой начальник отказывается разрешить использование частных IP-адресов в общедоступном определении DNS. Поэтому я не могу поместить частный IP-адрес SVN-коробки (svn.ourcompany.com) в DNS-запись.com. Он существует только на svn.ourcompany.local
В конце концов, я не против, за исключением случаев, когда речь идет о SSL.
Существует ли популярный (предварительно установленный сертификат корневого ЦС во всех ОС) ЦС, который подписывает запросы сертификатов.local? Для этого не нужно иметь никаких наворотов, никаких джокеров, это может даже стоить номинальную плату.
Я действительно не хочу обойтись и установить самостоятельно развернутый корневой ЦС на компьютер каждого пользователя, и мне приходится переделывать его, когда что-то меняется. Это просто раздражает.
4 ответа
Почему бы не использовать локальный DNS-сервер, который не отвечает на внешние запросы, с записью для вашего SVN-сервера? Или это нарушает политику "общедоступного определения DNS" (что абсурдно, если хост не является общедоступным)?
Ваш босс умнее, чем вы думаете. Отображение локального адреса на общедоступном DNS-сервере не имеет особого смысла.
Вы должны лучше настроить внутренний DNS-сервер (Bind работает как чудо при минимальной установке Linux, или вы можете использовать средство DNS контроллера домена AD, если вы используете Windows) и определить зону делегирования для адресов, размещенных в вашем домене.,
Говоря о сертификатах SSL/TLS, вы можете легко создавать свои собственные и управлять ими с помощью команды openssl. Если вам удобнее работать с графическим интерфейсом и вы работаете под Linux, вы можете установить инструмент под названием TinyCA2.
Сгенерированный сертификат так же хорош, как и платный, с точки зрения криптографической безопасности, вы можете просто получить некоторое безопасное предупреждение от svn-клиента (или веб-браузера) при первом подключении, потому что излучающий орган (вы) не распознан как сертифицировано.
M
Во-первых: ответ на вопрос как таковой должен быть "нет", просто потому, что TLD.local не является публичным TLD и поэтому клиенты не смогут отследить это до корневого сертификата.
Однако, как отмечали другие, вы можете запустить локальный DNS-сервер. Фактически, в нашем случае мы запускаем внутренний DNS и внешний DNS в одном домене, но предоставляем разные результаты, в зависимости от того, откуда поступил запрос. И как только вы запускаете свою внутреннюю сеть в домене.com, вы можете использовать сертификаты, выданные любым корневым центром сертификации.
InstantSSL от Comodo, похоже, выполняет SSL-сертификаты в интрасети:
http://www.instantssl.com/ssl-certificate-products/ssl/ssl-certificate-intranetssl.html
По их собственному описанию они "выдаются либо на полное имя сервера, либо на частный IP-адрес". Я бы по-прежнему рекомендовал посмотреть на создание собственного частного центра сертификации, но вы можете достичь того, чего хотите.