Для внутренних серверов, которые могут иметь исходящий доступ к Интернету, но для которых их веб-службы работают только для внутреннего использования и недоступны извне, можно ли установить сертификаты SSL, выпущенные признанным центром сертификации?
В этом сценарии доменные имена не могут быть разрешены за пределами организации, но являются действительными полными доменными именами, например, они могут быть субдоменами реального домена .com, но для которого нет общедоступных записей DNS и нет намерения создать возможность публичного доступа к нему. Домены работают внутренне из-за записей на внутренних DNS-серверах, и брандмауэр намеренно разделяет эти серверы во внутренней сети.
Использование доменного имени для доступа к веб-службам предназначено исключительно для того, чтобы помочь пользователям запомнить адрес, а не IP-адрес и номер порта, и использование SSL будет полезно для предотвращения внутреннего прослушивания / перехвата трафика (включая данные для входа) к ним и от них. веб-сервисы.
Вместо того, чтобы сразу покупать сертификат SAN SSL для этих доменов, я решил сначала попробовать сертификат от Let's Encrypt и посмотреть, будет ли он работать нормально. Я застрял на этапе проверки права собственности на домен - поскольку Let's Encrypt не может получить доступ к этим службам, поскольку они не являются общедоступными, а общедоступный DNS даже не существует для записей имени хоста / A.
Если бы мне пришлось создать общедоступную DNS-запись и направить ее на другой общедоступный сервер и разместить этот файл для проверки права собственности, было бы этого достаточно, чтобы удовлетворить требование и позволить мне загрузить и установить сертификат вручную, или я Вероятно, возникнут дополнительные проблемы, если я впоследствии удалю общедоступную запись DNS и файл проверки? Я бы не стал использовать сертификаты Let's Encrypt в этом случае, иначе мне пришлось бы делать это каждые 90 дней.
Я заинтересован в использовании сертификатов SSL от центра сертификации, а не в самоподписанных, чтобы избежать предупреждений браузера, хлопот с настройкой и обслуживанием внутреннего сервера сертификатов и необходимости установки нового центра сертификации на всех клиентских устройствах.
Кто-нибудь еще здесь использует сертификаты, выданные центром сертификации (например, Thawte, GoDaddy, GeoTrust, InstantSSL и т. Д.) Для внутренних / частных / автономных серверов, и если да, то как вы управляли процессом проверки домена? Похоже, это требуется для всех типов SSL - DV, OV, EV, - но, пожалуйста, поправьте меня, если я ошибаюсь или есть исключения. Есть ли лучший способ использовать SSL для внутренних целей, кроме того, что я обсуждал здесь? Спасибо.