Можно ли вообще создать самозаверяющий сертификат для использования на нескольких машинах в локальной сети, чтобы браузер не жаловался, что это ненадежный сайт?
У нас есть продукт, который в основном представляет собой компьютер, на котором запущен lighttpd для обслуживания веб-интерфейса для настройки компьютера (вроде того, как у маршрутизатора есть веб-интерфейс). Также может быть много таких машин, работающих в одной сети с динамическими IP-адресами. В основном я хочу включить SSL для дополнительной безопасности, но я не хочу, чтобы люди, находящиеся в локальной сети, получали предупреждение браузера о том, что сертификату не доверяют.
Это вообще возможно?
Ага.
Пока вы управляете кешами сертификатов на локальных машинах, это легко.
Первый, создать корень CA.
Установите срок действия корневого сертификата ЦС примерно на 20 лет. Экспорт общедоступного корневого сертификата ЦС в виде файла pem и установить Это на клиентские ПК. Он будет отображаться как сертификат доверенного центра сертификации.
Затем используйте этот CA для подписи CSR для серверов, которые вы хотите зашифровать SSL. Затем установите сертификат, который вы создали там, в хранилище сертификатов SSL веб-сервера и настройте сервер для использования этого сертификата.
Если он работает правильно, вы сможете перейти на веб-сайт и увидеть, что он зашифрован по протоколу https, но, поскольку это предварительно сохраненный корневой сертификат, вы не получите уродливых красных предупреждающих полей и полос.
Немного не по теме .. Но вы можете получить доверенный сертификат для публичного домена, который вы контролируете, но который указывает на локальный IP.