具有CA证书问题的HTTPS SSL自签名证书

时间:2012-03-21 15:06:44

标签: http https ssl-certificate self-signed

我的内部网络上有一个网站,公众也可以访问。我已经为该公共站点购买并安装了SSL证书。该网站同时使用https://site.domain.com(公开)和https://site.domain.local(内部)。

我遇到的问题是为内部“site.domain.local”创建并安装自签名证书,以便内部网络上的人员不会收到安全警告。我在根文件夹中有一个密钥库,并且在该密钥库中创建了一个没有运气的自签名证书。公钥工作得很好。我正在运行安装了Tomcat 7的Debian linux,我也在使用Microsoft DNS的网络上使用Active Directory。任何和所有的帮助将不胜感激。如果您需要更多详细信息,请询问。

3 个答案:

答案 0 :(得分:0)

我不确定我是否完全理解您的设置,但您可以使用Apache安装Tomcat,在Apache实例上安装证书,然后对您的Tomcat实例执行Reverse-Proxy(普通http)。人们将访问将处理SSL连接的Apache实例。

答案 1 :(得分:0)

一种方法是在每个客户端证书可信存储中添加CA证书(这不方便):客户端单击证书警告消息并安装/信任自签名x509 CA证书。如果这不起作用,则证书存在问题(尽管大多数openssl生成的东西.CER / .CRT / .P12 / .PFX将在最近的窗口下安装没有问题。)

如果一个客户端通过手动设置接受自签名证书,您可以尝试使用Active Directory安装这些证书;基本上你在你的AD中添加了可信的CA证书,并且客户端自动同步(nb:主要是在登录时):在那里查看关于设置AD的提示:http://support.microsoft.com/kb/295663/en-us(您可以尝试这个或者向这个方向挖掘:与AD,你永远不会知道。)

另一种可能性是设置内部DNS以将site.domain.com指向本地网站地址(简单方式)。您可以使用linux / unix flavor上的/etc/hosts文件(或windows flavor上的system32/drivers/etc/hosts)测试此设置

答案 2 :(得分:0)

如果您的证书是针对site.domain.com的,并且用户将访问site.domain.local并获得该证书,那么显然名称不匹配,浏览器将始终警告您。

您需要:

  • 使用BOTH名称重新生成证书
  • 获取内部网站的证书
  • mangle DNS,以便当您的内部用户访问site.domain.com时 他们获得site.domain.local的IP地址。