Implementar la aplicación de intranet con certificado SSL

0

Mi empresa tiene una aplicación de intranet creada en la pila WAMP: Windows / Apache / MySQL / PHP. Esta aplicación se instala en un servidor en el sitio de cada cliente y se accede a través de la dirección IP de LAN. Por ejemplo: http://10.0.0.100/myapp.php o http://192.168.1.19/myapp.php

¿Cómo puedo asegurar la aplicación web para que use un certificado SSL válido? La emisión de un certificado SSL desde mycompany.com no será de ayuda porque se accede a la aplicación web desde una dirección IP de LAN arbitraria.

Certificado SSL autofirmado

Es posible utilizar un certificado SSL autofirmado como solución alternativa. Esa no es una solución a largo plazo, y quiero evitar que los usuarios vean esto

    
pregunta hanxue 26.05.2016 - 05:58
fuente

2 respuestas

1

AFAIK establecer la excepción en el navegador de cada usuario es la única forma de deshacerse de ese mensaje cuando se usa un certificado autofirmado. Pero: si su empresa tiene un certificado comodín, podría definir un subdominio, al que solo se puede acceder en la red local.

Si su empresa no tiene el certificado de comodín, aún puede crear el subdominio, adquirir un certificado SSL gratuito (hay algunas autoridades de certificación que últimamente ofrecen certificados ssl gratis) para el subdominio deseado para uso interno .

    
respondido por el fab 26.05.2016 - 10:07
fuente
1

Opción 1: Cree una CA interna (para cada cliente), agregue esa raíz de CA a todos los clientes (utilizando ActiveDirectory, por ejemplo) y cree un Certificado para ese servicio con esa CA.

Opción 2: Cree un certificado para un subdominio del dominio de su empresa para cada cliente . Si tiene supercoolapp, registre supercoolapp.ninja . Para el cliente A, obtenga un certificado para customerA.supercoolapp.ninja . Para obtener este certificado, debe poder recibir correo en [email protected] (o algo similar), cambiar el DNS de supercoolapp.ninja o alojar un pequeño archivo de texto / html en un servidor web público en supercoolapp.ninja . ¡Puedes hacer todo esto sin problemas!

Si es posible, luego agrega customerA.supercoolapp.ninja en el DNS local de su cliente A para que se resuelva en 10.0.0.100 . Si no puede hacerlo, puede agregarlo a su servidor DNS público. De esta manera, todos los usuarios de Internet que busquen la IP de customerA.supercoolapp.ninja también obtendrán la IP 10.0.0.100 , pero como esa IP es privada no se puede conectar.

    
respondido por el Josef 24.08.2016 - 17:15
fuente

Lea otras preguntas en las etiquetas