带有CA证书颁发的HTTPS SSL自签名证书

Question

我在我们的内部网络上有一个网站，也是公众可以访问的。我已经为该公共站点购买并安装了SSL证书。该网站可通过https://site.domain.com (公共)和https://site.domain.local (内部)访问。

我遇到的问题是为内部"site.domain.local“创建和安装一个自签名证书，这样内部网络上的人就不会收到安全警告。我在根文件夹中有一个密钥库，并在该密钥库中创建了一个自签名证书，但没有成功。公钥工作正常。我正在运行安装了Tomcat7的Debian linux，我还在使用带有Microsoft DNS的网络上的Active Directory。任何帮助都将不胜感激。如果您需要更多详细信息，请联系我们。

Answer 1

我不确定我是否完全理解您的设置，但是您可以在Tomcat前面安装Apache，在Apache实例上安装证书，然后对Tomcat实例执行反向代理(纯http)。人们将访问Apache实例，该实例将处理SSL连接。

Answer 2

一种方法是将CA证书添加到每个客户端证书受信任的存储中(这不方便)：客户端单击证书警告消息并安装/信任自签名的x509 CA证书。如果这不起作用，证书就有问题(尽管大多数openssl生成的.CER/.CRT/.P12/.PFX文件在最近的windows下安装都没有问题)。

如果一个客户端接受手动设置的自签名证书，您可以尝试使用Active Directory安装这些证书；基本上，您可以在您的AD中添加受信任的CA证书，并且客户端自动同步(nb:主要在登录时)：查看此处获取有关设置AD的提示：http://support.microsoft.com/kb/295663/en-us (您可以尝试此操作或深入研究该方向:使用AD，您永远不会知道)。

另一种可能是将您的内部域名系统设置为将site.domain.com指向本地网站地址(最简单的方法)。您可以在linux/unix版本(或windows版本的system32/drivers/etc/hosts )上使用/etc/hosts文件测试此设置。

Answer 3

如果您的证书是用于site.domain.com的，并且用户要访问site.domain.local并获取该证书，则很明显存在名称不匹配，浏览器将始终警告您。

您需要：

• 获取使用两个名称重新生成的证书
• 仅获取内部站点
• 的证书损坏DNS，以便当您的内部用户访问site.domain.com时，他们获得DNS的IP地址