Установка HTTPS / SSL на серверах Windows, у которых нет доступа к Интернету
У нас есть серверы Windows, которые защищены межсетевым экраном и не имеют доступа к Интернету. Некоторые из них являются веб-серверами (для интрасети), а некоторые - серверами приложений, базами данных, файлами и т. Д.
Некоторые приложения требуют входа в систему, и из-за отсутствия сертификатов SSL браузер отобразит предупреждение для пользователь всякий раз, когда он видит в поле ввода на странице.
Мы не можем настроить веб-сервер для использования HTTPS, поскольку ему не хватает сертификата SSL.
Мой вопрос: есть ли способ настроить сервер на использование HTTPS, даже если у него нет доступа к Интернету?
Если да, то как на него установить сертификат? Я понимаю, что должен где-то приобрести сертификат, но как мне установить его на все серверы?
Где я могу узнать больше об этих вещах, которые применимы к нашей настройке?
მე ორი გზა არსებობს, როგორც მე ვხედავ: ან შექმენით ე.წ. თვითნებური სერთიფიკატი ან მიიღეთ უფასო სერვისი ისეთი სერვისიდან, როგორიცაა Let's Encry .
ხელმოწერილი სერთიფიკატის შექმნა დამოკიდებულია თქვენს გარემოზე და უმარტივესი გზაა ამის ძებნა Google- ში. მაგალითად, Linux- ისა და Apache- სთვის შეგიძლიათ მიჰყვეთ ამ რეცეპტს , მაგრამ სხვაც არსებობს, როგორც ნახავთ.
სერტიფიკატების დაყენება დამოკიდებულია სერვერზე, რომელსაც იყენებთ და აქ უნდა გკითხოთ შეამოწმეთ თქვენი დოკუმენტაცია. იგი განსხვავდება Apache , Nginx , IIS ან არა, მაგრამ ყველა მათგანს აქვს შესანიშნავი დოკუმენტაცია
როდესაც თქვენ აკონტროლებთ კლიენტებს, რომლებიც დაუკავშირდებიან თქვენს სერვერებს, ერთი შესაფერისი გამოსავალი იქნება საკუთარი ხელმოწერილი შიდა სერთიფიკატის ორგანოს შექმნა.
თეორიულად რას გააკეთებთ ძირეული სერთიფიკატის დასაყენებლად, რომელიც დაცული უნდა იყოს დაცული და ხაზგარეშე. ამის საფუძველზე თქვენ შექმნით ბავშვის CA სერთიფიკატებს, რომლებიც უნდა იქნას გამოყენებული სერვერის ნამდვილ სერთიფიკატებზე ხელმოსაწერად. ამის შემდეგ თქვენ უნდა განათავსოთ შესაბამისი საჯარო გასაღებები ყველა კომპიუტერში, რომლებიც შიდა სერვისებს უკავშირდება, ნდობის ურთიერთობის გამოსასრულებლად.
Windows გარემოში Microsoft– ის დოკუმენტაციას შეიძლება დაეხმაროს: https: // docs. microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/server-certificate-deployment-overview- შეხედულებისამებრ1151132 nava.us12129] უფრო ღია გარემოში რამდენიმე გზა არსებობს გაგრძელება, როგორც წესი, დაფუძნებულია OpenSSL და დამატებით ინსტრუმენტებზე. ვებ ძიების ძრავა იქ შენი მეგობარია.
თქვენ გაქვთ მრავალი ვარიანტი.
"რეალური" სერთიფიკატის მისაღებად (მაგ., ბრაუზერების მიერ სტანდარტულად სანდო), თქვენ გჭირდებათ დომენზე წვდომის ვალიდაცია. ეს ხდება სამიდან ერთი გზით:
- CA– ს მიერ მოწოდებული ფაილის განთავსება ვებ სერვერზე, რომელიც CA ამოწმებს, რომ არსებობს და ამით დასტურდება, რომ სერვერზე გაქვთ წვდომა. ეს ალბათ ყველაზე გავრცელებული გზაა, მაგრამ თქვენთვის ეს არ არის ვარიანტი, რადგან საჯაროდ არ დგახართ წინაშე.
- ჩანაწერის დამატებით, რომელსაც CA უზრუნველყოფს თქვენს DNS– ს, რომელიც აჩვენებს, რომ წვდომა გაქვთ DNS ჩანაწერების შეცვლაზე, რაც გიჩვენებთ ეფექტურად ექნება წვდომა ამ დომენზე.
- - ზე გაგზავნილ ელექტრონულ ფოსტაზე პასუხის გაცემა შეგიძლიათ აირჩიოთ ელ.ფოსტის ერთ-ერთი ნომერი . ეს გვიჩვენებს, რომ თქვენ გაქვთ ძირითადი ფოსტის სერვერი და ასევე უნდა გქონდეთ წვდომა დომენზე.
ასე რომ, თქვენ შეგიძლიათ გამოიყენოთ 2 ან 3, რომ მიიღოთ "რეალური" სერთიფიკატი. ყველაზე პოპულარული უფასო სერთიფიკატების ავტორი, მოდით დაშიფვრა მხარს უჭერს მხოლოდ 1 და 2 მეთოდებს, და 2 დამოკიდებულია თქვენს DNS– ზე, რომელსაც აქვს ავტომატიზირებული API, რომ დაამატოთ ჩანაწერები, ასე რომ ყოველთვის არ არის ვარიანტი. სხვა CA- ები მხარს დაუჭერენ სამივე მეთოდს და დაგეხმარებათ, თუ როგორ უნდა გააკეთოთ ეს, მაგრამ, როგორც წესი, მათი მომსახურების საფასურის გადახდა ხდება, რადგან ეს სახელმძღვანელო ხასიათისაა.
სხვა ვარიანტია ველური ბარათის სერთიფიკატის მიღება (მაგ. *). მაგალითად .com ) რომელიც შეიძლება გამოყენებულ იქნას ნებისმიერი შიდა მისამართისთვის (მაგ. internal.example.com ). ამ ველური ბარათის სერტიფიკატის დადასტურება შეიძლება ზემოთ ანალოგიური გზით (თუმცა ზოგიერთმა CA- მ შეიძლება არ დაუშვას ველური ბარათის სერთიფიკატების გადამოწმების ყველა ეს მეთოდი. მოდით დაშიფვრა, მაგალითად, ველური ბარათის სერთიფიკატების გაცემის საშუალებას იძლევა მხოლოდ DNS დაფუძნებული ვალიდაციის საშუალებით). თუ თქვენ მიიღებთ wildcard სერტიფიკატს, ეს საშუალებას გაძლევთ გამოიყენოთ ხელახლა ნებისმიერი სერვერი ამ დომენის ქვეშ (მაგ. intranet.example.com , dev.example.com და ა.შ.). ამას, რა თქმა უნდა, სხვა რისკები აქვს, თუ გასაღებს მრავალ სერვერთან / მფლობელთან / დეპარტამენტთან გაზიარებთ.
დაბოლოს, როგორც სხვებმაც აღნიშნეს, შეგიძლიათ შექმნათ შიდა სერთიფიკატების ავტორი, ხელმოწერილი სერთიფიცირებული შესაქმნელად. ეს არ ნაგულისხმევად იქნება აღიარებული ბრაუზერების მიერ, რადგან არ არის გამოცემული აღიარებული, "რეალური" CA- ს მიერ. ამასთან, თქვენ შეგიძლიათ დაამატოთ CA root გასაღები თქვენს კომპიუტერში, ასე რომ ის აღიარებულია. ეს ხშირად კარგი ვარიანტია კორპორატიული გარემოსათვის, სადაც შეგიძლიათ დარწმუნდეთ, რომ ამ ძირეული გასაღები დაინსტალირებულია ყველა მოწყობილობაზე წესების მეშვეობით და ის ეფექტურად მოქმედებს როგორც ნამდვილი სერთიფიკატი. სრულად დაწვრილებით თუ როგორ უნდა დააყენოთ ეს, ამ პასუხის მიღმა არ არის ...