Как убрать флаг "небезопасно" при входе в портал кабины RHEL в моей интрасети (на основе AD)?
У меня есть ERP сервер, размещенный на RHEL 8.3, и для управления я использую cockpit portal из моего веб-браузера.
Каждый раз, когда я захожу на этот портал, я получаю сообщение о том, что сайт не заслуживает доверия, и я хочу его удалить. Та же проблема у меня с порталом веб-управления контроллера TP-Link OC200, и я полагаю, что то же самое произойдет, если я попытаюсь настроить сервер Windows Admin Center.
У меня есть AD DS в моей сети благодаря серверу Windows Server 2016 Standard с запущенной Essentials Experience (с CALs и лицензией), поэтому у меня есть и AD CA.
Я нашел в гугле, что можно использовать эту последнюю роль для решения этой небольшой проблемы, с которой я столкнулся, но поскольку это производственная среда, я не хочу что-то испортить. Я также хочу назначить серверу прямой адрес, а не только использовать имя сервера или IP адрес, чтобы я мог набрать, например, "myerp.local" в браузере и без труда войти на управляющий портал.
У меня действительно нет опыта работы с сертификатами и управлением DNS, поэтому любая помощь, которую вы можете мне предоставить, будет оценена по достоинству.
Вы можете мне помочь?
Удалите .local и переименуйте его, основываясь на доменном имени, которое вы зарегистрировали публично. Итак, myerp.example.net и host1.example.net (но ваше имя). .local - это для mDNS. Кроме того, вы не можете получить сертификат готовности к интернету от публичного ЦС. Если не сейчас, запланируйте проект по переименованию домена при следующем большом организационном изменении.
Доверяйте корневому ЦС вашей PKI на клиентских узлах в вашей организации. Обычно через групповую политику для хостов Windows. Существуют и другие методы установки в хранилища доверия, в том числе для других операционных систем - при необходимости можно упаковать сертификаты для настольных компьютеров Linux.
Создайте отдельную тестовую среду с другим экземпляром приложения, на другом хосте, с достаточной инфраструктурой поддержки, чтобы быть полезным.
Сначала выдайте x509 сертификаты в тестовой среде. Убедитесь, что последние шифры TLS шифруют соединение. Выполните ту же процедуру в продакшене.
Автоматизируйте выдачу сертификатов. Поместите напоминание в календарь для обновления за неделю до истечения срока действия этой партии сертификатов.