1. ホーム
  2. 質問と答え
  3. CA証明書発行によるHTTPS SSL自己署名証明書

CA証明書発行によるHTTPS SSL自己署名証明書

2012-03-21 39 views
2

私は内部ネットワーク上に一般に公開されているウェブサイトを持っています。私はその公開サイト用のSSL証明書を購入してインストールしました。このサイトは、https://site.domain.com(公開)とhttps://site.domain.local(内部)の両方を使用して利用できます。CA証明書発行によるHTTPS SSL自己署名証明書

私が抱えている問題は、社内ネットワーク上の人々がセキュリティ警告を受け取らないように、内部 "site.domain.local"の自己署名証明書を作成してインストールすることです。ルートフォルダにキーストアがあり、そのキーストアに自己署名証明書が作成されています。公開鍵はうまく動作しています。私はTomcat 7がインストールされたDebian Linuxを実行しています。また、Microsoft DNSを使ってネットワーク上のActive Directoryも使用しています。すべての助けが大いに感謝されるでしょう。詳細が必要な場合は、お尋ねください。

出典

2012-03-21 Alienyak

答えて

0

私はあなたの設定を完全に理解していますが、ApacheでTomcatを正面から見て、Apacheインスタンスにcertをインストールしてから、TomcatインスタンスにReverse Proxy(プレーンhttp)を実行してください。 SSL接続を処理するApacheインスタンスにアクセスします。

出典

2012-03-21 15:14:43

+0

私はそれを行うことができますが、証明書の問題は依然として存在します。サーバーはネットワーク上のファイアウォールの背後にあり、domain.local名とdomain.com(NATと割り当てられたパブリックIP経由)の両方を使用してアクセスでき、誰かがネットワークに接続していない場合にのみdomain.comサーバー名に接続できます。証明書はその名前を検証します。内部ユーザーのためにサーバー上に自己署名入り証明書を持つ方法を見つけ、domain.local名も検証する必要があります。自己署名証明書とCA証明書の両方をインストールする必要があります。 – Alienyak

+0

私は本当にあなたが '証明書がその名前を検証する'という意味を持っていないと思います。Apache上でVirtualHostを設定することができます。これは、人々がアクセスするドメイン名に応じて異なるサーバー証明書を提示します(ServerNameディレクティブを確認してください)。 –

+2

たとえば、ユーザーが家庭やカフェのインターネットに接続している場合、 site.domain.comの名前であり、私たちのファイアウォールを通過するNATである私たちのサイトに接続する際に問題はありません。彼らがローカルネットワーク上にいるとき、私たちはADを使用しており、デフォルトのdomain.localで設定されています。 (.comの代わりに.com)私のすべてのユーザーはファイアウォールの背後にあるので、site.domain.comに接続することはできませんが、site.domain.localを使用する必要があり、CAからインストールした証明書は特にsite.domainです。 com。私は修正について昨日良い提案を得て、それがどのようになっているかをあなたに知らせます。 – Alienyak

0

1つの方法は、すべてのクライアント証明書の信頼ストアにCA証明書を追加することです(便利ではありません)。クライアントは証明書の警告メッセージをクリックし、自己署名入りx509 CA証明書をインストール/信頼します。これがうまくいかない場合、証明書に問題があります(ほとんどのopenssl生成の.CER/.CRT/.P12/.PFXは最近のウィンドウで問題なくインストールされます)。

1人のクライアントが手動セットアップで自己署名入りの証明書を受け入れる場合は、これらの証明書をActive Directoryでインストールできます。基本的にはあなたの広告内に信頼できるCA証明書を追加し、クライアントは自動的に同期します(nb:ほとんどの場合はログイン時):広告で設定するヒントについてはこちらをご覧ください:http://support.microsoft.com/kb/295663/en-us(これを試してみてください。まだわからない)。

もう1つの可能性は、ローカルWebサイトアドレス(の簡単な方法)へのsite.domain.comを指すように内部DNSを設定することです。あなたの証明書がsite.domain.comとユーザーのためである場合は、site.domain.localに行くと、その証明書を取得しているあなたとLINUX/UNIXフレーバー(またはWindowsフレーバーのsystem32/drivers/etc/hosts

出典

2012-03-21 16:18:49

+0

お返事ありがとうございます。私は明日これをやろうとしています。私は自分のWindowsサーバーの1つにあるホストファイルにエントリを追加しました。これは美しく機能しました。しかし、私はWindows DNSサーバーにDNSエントリレコードを追加する方法を見つけることができません。 AD経由で証明書を追加するためにあなたが提供したリンクを試してみます。 – Alienyak

0

/etc/hostsファイルをこの設定をテストすることができます明らかに名前の不一致があり、ブラウザは常にあなたに警告します。

あなたはどちらかに必要があります。内部ユーザーがsite.domainに行くときよう

  • 両方の名前
  • で再生CERTはちょうど内部サイトの証明書
  • マングルDNSをゲット。 com 彼らはsite.domain.localのIPアドレスを取得します。

出典

2012-06-08 13:15:22

関連する問題

 関連する問題