Мой босс отказывается включать частные IP-адреса в общедоступное определение DNS. Поэтому я не могу поместить IP-адрес частного SVN-бокса (svn.ourcompany.com) в DNS-запись .com. Он существует только на svn.ourcompany.local
Я не возражаю против этого, за исключением случаев, когда речь идет о SSL.
Есть ли популярный (корневой сертификат CA, предварительно установленный во всех ОС) CA, который подписывает запросы сертификатов .local? Ему не нужно иметь никаких наворотов, никаких подстановочных знаков, это может даже стоить символическую плату.
Я действительно не хочу идти и устанавливать саморегулирующийся корневой ЦС на каждый пользовательский компьютер и вынужден переделывать его, когда что-то меняется. Это просто раздражает.
Ваш босс умнее, чем вы думаете. Отображение локального адреса на общедоступном DNS-сервере не имеет большого смысла.
Вам лучше настроить внутренний DNS-сервер (Bind работает как чудо на минимальной установке Linux, или вы можете использовать DNS-средство контроллера домена AD, если вы работаете в Windows) и определить зону делегирования для адресов, размещенных в вашем домене. .
Говоря о сертификатах SSL / TLS, вы можете легко создавать и управлять своими собственными с помощью команды openssl. Если вам удобнее работать с графическим интерфейсом и вы работаете под Linux, вы можете установить инструмент под названием TinyCA2.
Самостоятельно сгенерированный сертификат так же хорош, как и платный, с точки зрения криптографической безопасности, вы можете просто получить какое-то безобидное предупреждение от клиента svn (или веб-браузера) при первом подключении, потому что выдающий орган (вы) не распознается как сертифицировано.
M
Во-первых: ответ на вопрос как таковой должен быть «нет», просто потому, что .local TLD не является общедоступным TLD, и поэтому клиенты не могут отследить это до корневого сертификата.
Однако, как указывали другие, вы можете запустить локальный DNS-сервер. Фактически, в нашем случае мы запускаем внутренний DNS и внешний DNS в одном домене, но предоставляем разные результаты в зависимости от того, откуда исходит запрос. И как только вы запустите свою внутреннюю сеть на TLD .com, вы сможете использовать сертификаты, выданные любым корневым центром сертификации.
InstantSSL от Comodo, похоже, выполняет сертификаты SSL для интрасети:
http://www.instantssl.com/ssl-certificate-products/ssl/ssl-certificate-intranetssl.html
По их собственному описанию, они «присваиваются либо полному имени сервера, либо частному IP-адресу». Я бы по-прежнему рекомендовал создать свой собственный частный центр сертификации, но вы можете добиться того, что хотите.
Почему бы не использовать локальный DNS-сервер, который не отвечает на внешние запросы, с записью для вашего SVN-сервера? Или это нарушает политику «определения общедоступного DNS» (что абсурдно, если хост не разрешается публично)?