使用SSL证书部署intranet应用程序

Question

我的公司在WAMP堆栈上有一个内部网应用程序- Windows / Apache / MySQL / PHP。此应用程序安装在每个客户站点的服务器上，并通过LAN IP地址访问。例如：http://10.0.0.100/myapp.php或http://192.168.1.19/myapp.php

如何保护web应用程序以使其使用有效的SSL证书？从mycompany.com发出SSL证书不会有帮助，因为web应用程序是从任意LAN地址访问的。

自签名SSL证书

可以使用自签名SSL证书作为解决办法。这不是一个长期的解决方案，我希望避免用户看到这个。

Answer 1

在每个用户浏览器中设置异常是在使用自签名证书时消除该消息的唯一方法。但是:如果您的公司有通配符证书，您可以定义子域，这在本地网络中是可以访问的。

如果您的公司没有通配符证书，您仍然可以创建子域，获得一个免费的SSL证书(最近有一些证书颁发机构免费提供ssl证书)，以供内部使用。

Answer 2

选项1:创建内部CA (针对每个客户！)，将CA根添加到所有客户端(例如，使用ActiveDirectory )，并使用该CA为该服务创建证书。

选项2:为每个客户为公司域的子域创建证书。如果你有超酷应用，注册supercoolapp.ninja。对于客户A，获得customerA.supercoolapp.ninja证书。要获得此证书，您需要能够在admin@supercoolapp.ninja (或其他类似的地方)接收邮件，更改supercoolapp.ninja的DNS，或者在supercoolapp.ninja的公共get服务器上承载一个小的文本/html文件。你可以做到这一切，没有问题！

如果可能，然后将customerA.supercoolapp.ninja添加到客户A的本地DNS中，以便将其解析为10.0.0.100。如果您不能这样做，您可以添加到您的公共DNS服务器！这样，每个在互联网上寻找customerA.supercoolapp.ninja的IP的人也会得到IP 10.0.0.100，但是因为那个IP是私有的，所以无法连接。