Я хочу убедиться, что подключение пользователей максимально безопасно. Наш сервер RDWeb имеет имя .local (для этого вопроса он будет называться rdweb.contoso.local) и публичное имя: rdweb.contoso.com
У нас есть SSL-сертификат премиум-класса от godaddy для веб-сайта RDWeb (rdweb.contoso.com). Когда пользователь щелкает для запуска remoteapp A, он подключается к серверу rdweb. В поле подключения к серверу rdweb написано: «... подключение к rdweb.contoso.local», а затем пользователю предлагается войти в rdweb.contosto.local. После успешного входа в систему появляется окно с запросом пользователя, хочет ли он продолжить подключение к rdweb.contoso.local, поскольку его нельзя проверить. Если вы нажмете на просмотр сертификата, вы увидите, что для этого подключения используется самозаверяющий сертификат, который я создал в IIS. Это безопасно? Удаленное приложение, используемое из RDWeb, представляет собой приложение HR / расчета заработной платы, которое содержит конфиденциальную информацию о сотрудниках.
Итак, подходит ли самозаверяющий сертификат для подключения с веб-сайта RDWeb к серверу rdweb? У нас есть SSL-сертификат премиум-класса для самого веб-сайта rdweb (rdweb.contoso.com)
Если самозаверяющий сертификат небезопасен в этой ситуации, как я могу сделать его безопасным? Купить SSL для домена .local у godaddy?
мы использовали этот процесс некоторое время, и я просто подумал о безопасности соединения. Я понимаю, что он зашифрован, и доверяю сертификату, поскольку знаю, что он пришел с сервера. Просто хочу немного подумать об этом.
Спасибо всем.
ОС: server 2008 R2 Windows 7 и 2008 R2 среда активного каталога Пользователи RDWeb входят в RDWeb из внешнего местоположения в нашу локальную сеть
Решение здесь - заставить всех подключаться к rdweb.contoso.com и никогда не использовать адрес rdweb.contoso.local. В большинстве случаев для правильной работы потребуется либо разделенный DNS, либо закрепление / закольцовывание NAT.
Используя публичное имя, ваш сертификат godaddy SSL будет работать правильно. Ни один уважаемый провайдер не предоставит вам подписанный ssl-сертификат для любого адреса * .local, так как нет способа подтвердить право собственности (на самом деле, вы им не владеете, но пока он только в вашей локальной сети, он ничего не сломает. если кто-то еще использует его в своей локальной сети).
Использование самозаверяющего сертификата - плохо, особенно потому, что оно учит пользователей полностью игнорировать предупреждение о недействительности сертификата. Это значительно упрощает обманом кого-то, чтобы он подключился к другому сервису или перехватил соединение.
Предполагая, что у вас есть DNS contoso.com в godaddy и ваш contoso.local DNS в активном каталоге, вы можете добавить contoso.com на свои DNS-серверы AD со всеми записями, которые он имеет в godaddy. Но когда вы перейдете на rdweb, вместо общедоступного IP-адреса введите частный адрес.
Или просто разрешите своему брандмауэру / устройству NAT разрешать подключения из локальной сети через общедоступный адрес. Это часто называют закреплением NAT, обратной петлей или другими подобными именами.
Использовать самоподписанный сертификат для интернет-сервиса непрофессионально. Идея состоит в том, что мы доверяем сертификату от GoDaddy или Digicert больше, чем вашему самозаверяющему сертификату. Он может быть подтвержден серверами онлайн-проверки выдающего сертификат центра. Ваш самоподписанный не может. Если ваш сервер скомпрометирован и кто-то украдет ваш закрытый ключ, они могут подделать сертификат и сыграть роль посредника для ваших ничего не подозревающих пользователей, которым было сказано доверять вашему самозаверяющему сертификату. Да, трафик по-прежнему зашифрован при использовании самозаверяющего сертификата, но это больше о доверии.
Кроме того, вы усложнили себе задачу, назвав свой домен * .local.