Come testare un nuovo certificato SSL individuale (ad esempio, non un carattere jolly) funziona correttamente?

3

Sto eseguendo un server web in AWS e recentemente ho acquistato un certificato SSL per crittografare il traffico, diciamo per example.com . Poiché example.com è in esecuzione in produzione, come potrei effettivamente verificare che il certificato funzioni correttamente? Non riesco a testarlo con staging.example.com perché non è un certificato jolly. Non voglio installarlo solo nel caso qualcosa vada storto - mi piacerebbe testare prima.

L'unica cosa che potrei inventare è la creazione di un nuovo VPC, la rotazione di un nuovo server e la creazione di un DNS ospitato privatamente. Potrei puntare example.com all'IP privato del server nella zona DNS interna per vedere se tutto si carica correttamente. Sembra molto lavoro per testare un certificato SSL. Mi sto perdendo qualcosa? Ci deve essere un modo più semplice?

    
posta jay-charles 06.08.2015 - 13:58
fonte

2 risposte

5

Un modo per farlo è spoofare la tua richiesta DNS sul computer da cui esegui il test.

Ogni browser Web richiede la risoluzione del nome di dominio quando si tenta di accedere a prod.example.com . Su Linux puoi abbinare in modo specifico prod.example.com al tuo indirizzo IP del computer di staging nel file /etc/hosts . Su Windows, dovresti cercare lo stesso file ma in c:\Windows\System32\drivers\etc . Quando hai le istruzioni corrette lì, qualsiasi chiamata a prod.example.com verrà diretta al computer di staging.

Ora tutto ciò che devi fare è configurare il server Web sul computer di staging con un host virtuale che corrisponda a prod.example.com con le direttive dei certificati SSL / TLS e dovresti riuscire a testarlo correttamente.

    
risposta data 06.08.2015 - 15:12
fonte
1

Suppongo che al momento il tuo sito stia servendo solo http. Il modo più semplice è installare il certificato e configurare il server Web in modo da servire sia http che https. Tutto il traffico esistente continuerà a utilizzare http, ma tu come tester puoi usare https. Una volta confermato che funziona, puoi configurare il sito in modo che utilizzi solo https.

Attenzione: se si stanno servendo altri siti https dallo stesso server, si rischia di compromettere gli altri siti se non si configura correttamente il cert, specialmente se si installano più certificati su un indirizzo IP condiviso.

Se sei preoccupato che qualcuno proverà a usare https in modo inaspettato (dato che probabilmente non hai ancora collegamenti https al tuo sito) E la tua cert potrebbe non essere come vuoi tu, allora probabilmente vale la pena dedica il tempo necessario al suggerimento di M'vy modificando il file host e impostando un ambiente di gestione temporanea che accetti l'intestazione host del vero dominio come valida.

    
risposta data 06.08.2015 - 16:43
fonte

Leggi altre domande sui tag