我有以下情况:
我想通过SSL保护这一点,但是2015 update禁止IP地址获得证书后,这似乎很棘手。
此post建议通过公共IP进行,但解决方案可能在没有互联网访问权限的区域完全脱机。
我花了几个小时研究,但似乎错过了一些东西。
请问该怎么做?
答案 0 :(得分:1)
我会设置一个带有app.local域的DNS服务器,该域将获得证书。
即使你在TLS握手中提供中间证书(你应该总是这样做而不依赖AIA),如果没有互联网访问,验证链就会出现问题,因为浏览器将无法访问CRL URL(证书吊销列表)。当然,除非我们谈论你自己的CA(住在同一个网络中)发布网站证书。
如果您描述的所有内容都在一个保护良好的沙箱中运行,那么您可能根本不需要TLS层,请问自己WHO是攻击者,您在保护什么。