让我们为 Intranet 网站加密?

信息安全 tls 证书 让我们加密
2021-08-11 01:00:19

许多公司拥有无法通过 Internet 访问的 Intranet 网站。通常他们只使用自签名证书,这会给用户带来一个坏习惯,因为他们习惯于在无效的 CERT 警告上按 OK。

问题:他们如何使用 Let's Encrypt 为其 HTTPS 网站生成证书?LTS Web 浏览器是否具有 Let's Encrypt as CA?

像 my-company-private-intranet-site.com 这样的私有域名可能会被泄露,这不是隐私问题吗?

4个回答

Let's Encrypt 只能为有效的 DNS 名称颁发证书。因此,如果您的 Intranet 使用这样的虚构域名,intranet.mycompany.local那么它将无法正常工作。

如果您有一个真实的 DNS 名称intranet.mycompany.com(即使它不能从外部解析到您的 Intranet),那么您可以使用 Let's Encrypt 为其颁发证书。如果域确实在外部解析为可以在端口 80 上响应的服务器(如果您有水平分割 DNS ,它实际上不需要是您的 Intranet 的一部分),您可以使用http-01挑战。

或者,您可以使用dns-01挑战(Certbot 0.10.0及更高版本以及其他客户端,如dehydradgetsslacme.sh完全支持)。由于此挑战通过配置 DNS TXT 记录来实现,因此您无需将 A 记录指向公共 IP 地址。

因此,您的 Intranet 不需要可从 Internet 访问,但您的域名确实需要存在于您控制的公共 DNS 中。

Let's Encrypt - 以及一般公众信任的证书颁发机构,由于Chrome 的要求- 将所有颁发的证书提交到公共证书透明度日志。因此,如果您获得证书,您不应期望您的 Intranet(子)域名保持机密。无论如何,您的 Intranet 的安全性不应依赖于对其域名的保密。

如果您正在为 Intranet 寻找类似内部 CA 的服务,那么像 Lets Encrypt 这样的公共 CA 可能无法工作,因为它想要连接回其服务器以管理证书请求和签名。这假设您没有通过 Intranet Web 服务器访问 Internet;您需要在网络服务器上安装一个客户端,以便它与 Lets Encrypt 服务进行通信。

他们如何使用 Let's Encrypt 为其 HTTPS 网站生成 CERT?

为此,LE 有一个专门的客户。看看它怎么运作

LTS 网络浏览器是否具有 Let's Encrypt as CA?

对浏览器就绪 CA 根证书的支持有限;请参阅https://github.com/letsencrypt/letsencrypt#disclaimer他们在https://letsencrypt.org/certificates/的网站上确实有公共证书

让我们回到您的主要观点,即颁发浏览器接受的不产生警告的 SSL 证书。正如 RoraZ 建议的那样,您需要让用户导入公司的自签名证书,以消除反复出现的浏览器警告,并防止用户养成简单接受无效证书的习惯。

我们使用 OpenSSL 允许我们充当自己的证书颁发机构,生成所有用户必须导入的根 CA,从而允许我们生成所有员工浏览器或任何依赖 SSL 的服务将自动接受的任何附加证书。与根据需要简单地导入自签名证书不同;您实际上是在创建根 CA证书并导入它。展望未来,您可以为不同的通用名称颁发任意数量的证书,由该 CA 签名,并且它们通过您自己的私有根证书颁发机构是有效和受信任的。

要创建和管理您自己的证书颁发机构,请参阅http://www.flatmtn.com/article/setting-openssl-create-certificates

更新 2019-03-30:有人实际上找到了一种为内部服务器进行 LE 的大规模方法:https ://blog.heckel.xyz/2018/08/05/issuing-lets-encrypt-certificates-for-65000-internal -服务器/

——————-

他们如何使用 Let's Encrypt 为其 HTTPS 网站生成 CERT?

一点也不。这仅适用于可公开访问的站点

2016-04-22 更新:也许“一点也不”有点太难了。这里有更多细节:LE 是为可公开访问的站点量身定制的。当 LE 询问时,您需要一些服务器来回答 DNS 名称。现在如果您已将 DNS 服务器配置为根据实际提出问题的人给出不同的答案 - 来自内部或外部的人,也称为 Split-Brain-DNS - 那么您可以将验证请求重定向到您想要的任何主机. -- 但这不是 LE 真正帮助您的用例。相反:在 2015 年,有一个明确的意图:“我们计划经常更改我们验证的 IP 集”. -- 因此,您几乎不可能将防火墙上的 LE 验证主机的 IP 列入白名单,因为这些 IP 可能会经常更改。

LTS 网络浏览器是否具有 Let's Encrypt as CA?

是的。他们的 CA 由知名的、完善的 CA 交叉签名。(即IdenTrust提供。)因此,所有信任旧 CA 的客户端也将立即信任新的 Let's-Encrypt CA。

要获得适当的解决方案,您可以在您的网络上运行自己的boulder实例,即letsencrypt 服务器部分。然后,如果它们支持使用不同的 ACME url,那么您可以将所有官方和非官方客户端与您自己的 ACME-Server 一起使用(官方客户端支持,对于其他客户端,您需要在其文档或源代码中查找)。

然后,您需要使用您的服务器将 CA 证书导入到客户端的信任库中。

如果您只有几台服务器运行 boulder 和“letsencrypt”自己可能不是最佳选择,您可以使用更简单的工具,例如easy rsa

其它你可能感兴趣的问题
上一篇ASLR 和 DEP 是如何工作的? 下一篇为什么使用 OpenID Connect 而不是普通的 OAuth2?