Distribuire l'applicazione intranet con certificato SSL

0

La mia azienda ha una build di applicazioni intranet nello stack WAMP - Windows / Apache / MySQL / PHP. Questa applicazione è installata su un server presso il sito di ciascun cliente ed è accessibile tramite l'indirizzo IP LAN. Ad esempio: http://10.0.0.100/myapp.php o http://192.168.1.19/myapp.php

Come posso proteggere l'applicazione Web in modo che utilizzi un certificato SSL valido? L'emissione di un certificato SSL da mycompany.com non sarà di aiuto perché l'applicazione web è accessibile da un indirizzo IP LAN arbitrario.

Certificato SSL autofirmato

È possibile utilizzare il certificato SSL autofirmato come soluzione alternativa. Questa non è una soluzione a lungo termine, e voglio evitare che gli utenti vedano questo

    
posta hanxue 26.05.2016 - 05:58
fonte

2 risposte

1

AFAIK che imposta l'eccezione nel browser di ogni utente è l'unico modo per sbarazzarsi di quel messaggio quando si utilizza un certificato autofirmato. Ma: se la tua azienda ha un certificato con caratteri jolly potresti definire un sottodominio, che è accessibile solo nella rete locale.

Se la tua azienda non ha il certificato jolly, potresti comunque creare il sottodominio, acquisire un certificato SSL gratuito (ci sono alcune autorità di certificazione che offrono recentemente certificati ssl gratuitamente) per il sottodominio desiderato per uso interno .

    
risposta data 26.05.2016 - 10:07
fonte
1

Opzione 1: Crea una CA interna (per ciascun cliente!), aggiungi la CA root a tutti i client (utilizzando ActiveDirectory, ad esempio) e crea un certificato per quel servizio con quella CA.

Opzione 2: Crea un certificato per un sottodominio del tuo dominio aziendale per ogni cliente . Se hai supercoolap, registra supercoolapp.ninja . Per il cliente A, ottieni un certificato per customerA.supercoolapp.ninja . Per ottenere questo certificato, devi essere in grado di ricevere posta a [email protected] (o qualcosa di simile), modificare il DNS di supercoolapp.ninja o ospitare un piccolo file text / html su un server web pubblico a supercoolapp.ninja . Puoi fare tutto questo senza problemi!

Se possibile, aggiungi customerA.supercoolapp.ninja nel DNS locale del tuo cliente A, quindi si risolve in 10.0.0.100 . Se non puoi farlo, puoi aggiungerlo al tuo server DNS pubblico! In questo modo, tutti gli utenti di Internet che cercano l'IP di customerA.supercoolapp.ninja otterranno anche l'%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%64virt%20%75%75%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%80v2.html ma perché l'IP è privato     

risposta data 24.08.2016 - 17:15
fonte

Leggi altre domande sui tag