Так как я понимаю, что интранет ssl certs больше не будет доступен с 2015 года, вместо этого обойти это я мог бы создать свои собственные сертификаты для использования и установить их в сетевом машины. Мой вопрос в том, означает ли это, что выдача моих собственных сертификатов будет плохой практикой? Я не могу думать о каких-либо других решениях.HTTPS через интрасеть, что является правильным способом сделать это
Предположительно, по «сертификату интрасети» вы имеете в виду сертификат, выданный локальному имени хоста (например, «sqlserver» или «») или частный IP-адрес.
Существует одно простое решение: используйте полностью зарегистрированные доменные имена, даже в интрасети. Клиенты, подключающиеся к вашим серверам интрасети, также должны будут использовать FQDN, но это, как правило, не очень сложно. Также вам нечего мешать вам разрешать DNS-серверу myinternalserver.mycompany.com на любой IP-адрес, который вам нужен, включая частные IP-адреса, даже если DNS-серверы размещаются вне сети вашей компании. (Для проверки SSL/TLS вам даже не нужен обратный DNS для работы, поэтому это не проблема.)
Управление собственным CA также является решением, но это может быть довольно немного административной нагрузки (в зависимости от по размеру вашей среды).
(С точки зрения безопасности, я думаю, что эти сертификаты интранете не должны реально существовать в любом случае, так как две совершенно разные сущности могут быть выпущены с различными сертификатами, действующими на одной и той же (относительно) идентичности.)
Спасибо, ослепительно очевидный, но я не мог видеть лес для деревьев :) – Lee
Возможно более возможно, подходит для ServerFault или Webmasters.SE. – Bruno