Digitalt sertifikat til testdomene med toppdomene .lokal

[ilpostino]

Jeg sitter med en testdomene hvor et system fungerer når det er ukryptert kommunikasjon mellom serverne. For å øke sikkerheten skal man ha digitale sertifikat og bruke kryptering (SSL). Toppdomenet er .lokal (domene blir da testdomene.lokal). Det brukes wildcard-sertifikat i testdomene men det skal brukes digitalt sertifikat med hele stien når det skal produksjonssettes. Det er en teori om at .lokal som toppdomene gjør at dette ikke fungerer. Jeg synes det høres litt rart ut. Stemmer dette?

[conundrum]

Du kan ikke få utstedt et offisielt sertifikat til et ikke-offisielt (topp)domene fra en offentlig sertifikatautoritet (CA).

 

Tidligere aksepterte disse at man la inn ugyldige/lokale domenenavn i Subject Alternate Names-feltet så lenge man hadde et gyldig subject-navn, men dette ble det slutt på for noen år siden. Nå er det bare gyldige domene- og hostnavn som gjelder i alle sertifikatfelt.

 

Det du kan gjøre, er å lage et selvsignert sertifikat. Dette må du så manuelt importere på klienten(e) som skal brukes mot testløsningen, ettersom sertifikatet ikke kan valideres mot noen av de godjente sertifikatautoritetene som er angitt i nettleseren eller operativsystemet.

 

Alternativt kan du sette opp din egen, interne sertifikatautoritet. Du må fortsatt distribuere rotsertifikatet manuelt til alle klienter i testmiljøet, men deretter kan du utstede sertifikater etter behov.

Endret 20. desember 2017 av conundrum

[1RX8ZRIG]

Som conundrum skriver til slutt, kan du sette opp en egen CA i Win server. Sertifikater til klienter og andre member servers kan settes opp til å distribueres via GPO, noe som er helt nødvendig når man kjører f.eks SCCM i et miljø. 

[slippern]

Kjør offentlig toppdomene med en gang, og kjøre uoffisielt kan støte på problemer senere, feks på klienter som det ikke er enkelt og masseutrulle sertifikater på.