据我了解,从2015年开始,Intranet ssl证书将不再可用,而是为了解决这个问题,我可以生成自己的证书并将其安装在联网计算机上。我的问题是,在这种情况下,这是否意味着签发我自己的证书将是不好的做法?我想不出任何其他解决方案。
答案 0 :(得分:2)
据推测,“Intranet证书”是指颁发给本地主机名(例如“sqlserver”或“mail”)或私有IP地址的证书。
有一个简单的解决方案:使用完全限定的域名,即使在Intranet中也是如此。连接到Intranet服务器的客户端也需要使用FQDN,但这通常不是很困难。即使DNS服务器托管在公司网络之外,也无法阻止您将DNS解析myinternalserver.mycompany.com到任何您想要的IP地址,包括私有IP地址。 (对于SSL / TLS验证,您甚至不需要反向DNS工作,因此这不是问题。)
管理您自己的CA也是一种解决方案,但它可能会带来相当大的管理负担(取决于您的环境的大小)。
(从安全的角度来看,我认为这些内联网证书无论如何都不应该存在,因为可能会向两个完全不同的实体颁发对同一(相对)身份有效的不同证书。)