HTTPS sobre red privada

2

Mi servidor web se ejecuta a través de una LAN (eso significa que no tengo una dirección IP pública (nombre de dominio) para dar a una Autoridad de Certificación para que SSL trabaje para mí). Mi IP es privada (10.100.10.239), pero el servicio se proporciona a través del ISP (mi LAN está conectada al ISP por algún medio que no conozco) a mis clientes de la sucursal. Entonces, ¿es posible implementar SSL en mi servidor web? (Un servidor web con una dirección IP privada) Si es así, ¿cómo?

Gracias.

Yars
fuente
Puede implementar SSL, pero si no puede obtener un Certificado, sus visitantes serán advertidos por sus navegadores acerca de confiar en su propio Certificado SSL. La mejor manera de resolver esa duda es llamar a su soporte de ISP y preguntarles. Sabrán si es posible redirigir 443 conexiones a su IP privada.
edumgui

Respuestas:

2

Como mencionó Darth, los certificados SSL se basan en FQDN (nombres de dominio totalmente calificados) no en direcciones IP.

Entonces, la pregunta es: ¿está implementando DNS interno para este servidor de manera tal que su nombre de host se resuelva en su dominio? Por ejemplo, si su dominio es example.com y su servidor web se llama web, si realiza una búsqueda de DNS para web.example.com, ¿se resuelve? Y para ser claros, ya que está afirmando que todo esto está en una red privada y no pública, querrá verificar esos registros DNS internamente, no externamente (use nslookup desde una máquina Win o excave desde una máquina * nix )

Suponiendo que está utilizando registros DNS internamente, podría generar una CSR (Solicitud de firma de certificado) desde su servidor web para el FQDN web.example.com. Usted proporciona este CSR a la Autoridad de Certificación de su elección, y ellos generarán el certificado SSL que luego instalará en su servidor web.

Alternativamente, dependiendo de 'si' hay mayores necesidades de certificados internos, puede crear su propia CA y emitir sus propios certificados. Habría un paso adicional en la necesidad de publicar sus certificados de CA en los navegadores de todas sus computadoras internas para que reconozcan al emisor de los certificados SSL y no reciban las advertencias de los certificados. Esto sería mucho más trabajo y realmente solo valdría la pena si utilizará la infraestructura de CA para otras necesidades.

Por último, pero no menos importante, como Santeador mencionó, podría crear un certificado autofirmado desde el propio servidor y sus usuarios simplemente tendrán que confiar en el certificado. La desventaja de los certificados autofirmados es que no hay una cadena de certificados para poder verificar su emisión, por lo que todo depende de cuán seguro le gustaría estar.

Además: el tiempo lo es todo. Estaba leyendo un poco y encontré esto que podría ayudarlo si desea seguir la ruta autofirmada (suponiendo que esté en Linux ejecutando Apache y no ejecutando IIS:
http://www.tecmint.com/enable-ssl -para-apache-on-centos /

BeepBeep
fuente
"la Autoridad de Certificación de su elección" probablemente rechazará la CSR a menos que los medios de validación de dominio de la CA puedan llegar al servidor.
Damian Yerrick
Esto significa que deberá haber, como mínimo, un conjunto de registros DNS de cara al público con los mismos nombres de host que los de la red privada, y dichos nombres de host se publicarán en Certificate Transparency.
Damian Yerrick
0

Los certificados SSL no se preocupan por las direcciones IP, solo por los nombres de host (nombres de dominio). Firme el nombre de host que posea que estén usando para acceder a su servidor web (suponiendo que posea dicho nombre de host)

Darth Android
fuente
Las CA comerciales no firman certificados para nombres de host que no son FQDN o para FQDN que hacen referencia a un host cuyo puerto 443 no es accesible desde Internet.
Damian Yerrick
@DamianYerrick La CA comercial que uso simplemente requiere que pueda acceder a un código enviado a uno de los correos electrónicos en el bloque de WHOIS del DN (facturación, técnico, administrativo). Ni siquiera tengo que tener ningún registro configurado, mucho menos uno apuntando a un servidor web. Muchos certificados SSL se utilizan para fines que no son HTTPS, por lo que dudo que la mayoría de las otras CA requieran que ejecute un servidor HTTPS para obtener uno.
Darth Android
Entonces, tal vez las AC ACME como Let's Encrypt sean una excepción a la regla. Necesitan un servidor web accesible o un DNS dinámico.
Damian Yerrick
1
@DamianYerrick Sí, definitivamente no son la norma actualmente. Son similares a un experimento muy interesante en este momento.
Darth Android