¿Vamos a cifrar para sitios web de intranet?

Let's Encrypt solo puede emitir certificados para nombres DNS válidos. Entonces, si su intranet usa un nombre de dominio inventado como intranet.mycompany.local , entonces no funcionará.

Si tiene un nombre DNS real como intranet.mycompany.com (incluso si no se resuelve externamente a su intranet), puede usar Let's Encrypt para emitir certificados para él. Si el dominio se se resuelve externamente a un servidor que puede responder en el puerto 80 (que en realidad no es parte de su intranet, si tiene DNS de horizonte dividido ), puede utilizar el http-01 challenge.

Alternativamente, puede usar % desafío dns-01 (totalmente compatible con Certbot 0.10.0 y más adelante, así como otros clientes como deshidratado , getssl y acme.sh ). Dado que este desafío funciona al proporcionar registros DNS TXT, no es necesario que apuntes un registro A a una dirección IP pública.

Por lo tanto, no es necesario que su intranet esté accesible desde Internet, pero su nombre de dominio debe existir en el DNS público bajo su control.

Let's Encrypt envía todos los certificados emitidos a registros de transparencia de certificados públicos. Si considera que su intranet (sub) nombre de dominio es privado, puede que le preocupe esto, pero tenga en cuenta que otro Es probable que las CA tengan que hacer algo similar pronto , y la seguridad de su intranet no debería depender de que su nombre de dominio sea secreto de todos modos.

Si está buscando un servicio interno similar a una CA para una Intranet, es posible que una CA pública como Lets Encrypt no funcione, ya que desea conectarse de nuevo a sus servidores para administrar la solicitud y firma del certificado. Esto supone que no tiene acceso a Internet desde su servidor web de intranet; necesita instalar un cliente en el servidor web para que se comunique con el servicio Lets Encrypt.

  

¿Cómo pueden generar un CERT para su sitio web HTTPS utilizando Let's Encrypt?

LE tiene un cliente dedicado para este propósito. Vea cómo funciona

  

¿Los navegadores web LTS tienen el Let's Encrypt como CA?

Hay soporte limitado para certificados raíz de CA preparados para el navegador; consulte enlace . Tienen certificados públicos en el sitio en enlace

Regresemos a su punto principal, que fue la emisión de certificados SSL aceptados por el navegador que no generan advertencias. Como RoraZ sugiere que usted necesita que los usuarios importen el certificado autofirmado de la compañía para eliminar las advertencias recurrentes del navegador y evitar que los usuarios desarrollen el hábito de simplemente aceptar certificados no válidos.

Utilizamos OpenSSL para permitirnos funcionar como nuestra propia autoridad de certificación, generando una CA raíz que todos los usuarios deben importar, lo que nos permite generar certificados adicionales que serán aceptados automáticamente por el navegador de todos los empleados, o cualquier servicio que dependa en SSL. Esto es diferente que simplemente importar el certificado autofirmado según sea necesario; en realidad está creando un certificado raíz CA e importándolo. En el futuro, puede emitir cualquier número de certificados para diferentes nombres comunes, firmados por esta CA, y son válidos y de confianza a través de su propia autoridad de certificados raíz privada.

Para crear y administrar su propia autoridad de certificación, consulte enlace

  

¿Cómo pueden generar un CERT para su sitio web HTTPS usando Let's Encrypt?

En absoluto. Esto es solo para sitios de acceso público .

( Actualización 2016-04-22: Quizás "en absoluto" es un poco demasiado difícil. Aquí hay un poco más de detalles: LE está diseñado para sitios de acceso público . Necesitas un servidor que responda al nombre de DNS cuando te pregunte LE. Ahora, si has configurado tu servidor de DNS para que responda de manera diferente según quién haga la pregunta, alguien del interior o del exterior, también conocido como Split-Brain -DNS: luego puede redirigir la solicitud de verificación a cualquier host que desee. - Pero este no es un caso de uso en el que LE realmente lo ayude. Al contrario: en 2015, hubo una intención explícita: "planeamos cambiar frecuentemente el conjunto de IPs desde las cuales validamos " . - Así que eso hace que sea casi imposible que usted solo incluya en la lista blanca de IPs para los hosts de validación LE en su firewall porque estas IPs pueden cambiar con frecuencia. / p>

  

¿Los navegadores web LTS tienen el Let's Encrypt como CA?

Sí. Su CA está firmada por una CA bien conocida y establecida. (A saber, por IdenTrust .) Por lo tanto, todos los clientes que confían en la antigua CA también confiarán en el nuevo Let's-Encrypt CA de inmediato.

Para obtener una solución adecuada, puede ejecutar una instancia propia boulder , es decir, la parte del servidor letsencrypt, en su red. Luego, puede usar todos los clientes oficiales y no oficiales con su propio servidor ACME si es compatible con el uso de diferentes URL de ACME (las oficiales lo hacen, para otros, debe buscarlo en su documentación o código fuente).

Luego, debe importar el certificado de CA en el almacén de confianza de los clientes que usan sus servidores.

Si solo tiene unos pocos servidores ejecutando boulder y "letsencrypt" usted mismo probablemente no sea la mejor opción y puede usar herramientas más simples como easy rsa .

Siempre que posea los dominios reales y no quiera uno para dominios como localhost o IP de red interna, puede generar uno en la Internet pública, apuntando a un sistema en blanco, luego transferirlo a su intranet usando rsync o similar.

Incluso ahora puede aparentemente obtener un comodín, por lo que *.internal.yoursite.extension podría funcionar. Obviamente, es inútil para los sitios de suplantación de identidad como microsoft.com.

Puedo entender por qué no es deseable falsificar sitios, pero también puedo ver cómo puede ser útil no tener que instalar CA en todas las estaciones de trabajo de la organización.