У меня есть веб-приложение, использующее SSL. Веб-сайт не является общедоступным и предназначен только для внутреннего частного доступа на нашем предприятии.
В целях безопасности мы используем два отдельных домена Active Directory и сети, но это конкретное веб-приложение доступно пользователям из обоих доменов. Мы поддерживаем частные CA на каждом домене, чтобы генерировать сертификаты для веб-серверов.
Веб-приложение, о котором идет речь, имеет действительный сертификат, выданный одним из CA, и все пользователи этого домена «доверяют» веб-сайту. Пользователи другого домена могут получить доступ к веб-сайту, но им показывается предупреждение о сертификате.
Поскольку я не хочу приучать своих пользователей игнорировать предупреждения, я хотел бы создать своего рода доверительные отношения между центрами сертификации, но не знаю, как это сделать.
Итак, повторюсь...
DOMAIN1 и DOMAIN2 имеют свои собственные центры сертификации. WEBAPP является членом DOMAIN1 и имеет подписанный сертификат SSL от центра сертификации DOMAIN1, поэтому все пользователи DOMAIN1 доверяют этому сертификату. Все пользователи из DOMAIN2 получают ошибки сертификата.
решение1
Сертификат не может выглядеть так, будто он выдан более чем одним центром сертификации — это прямая родительско-дочерняя связь.
Мне приходят в голову два варианта:
- Доверять CA домена 1 для клиентов в домене 2. Его можно импортировать в хранилища сертификатов AD или применить напрямую через групповую политику.
- Настройте отдельный прослушиватель на веб-сервере на другом порту или IP-адресе, к которому будут обращаться клиенты домена2, с сертификатом, выданным центром сертификации домена2.
решение2
Полагаю, что соображения безопасности не позволяют создать доверительные отношения между доменами.
Итак, как говорится: экспортируйте сертификат корневого CA из DOMAIN1. Опубликуйте его как доверенный корневой CAчерез GPOв DOMAIN2. Ваши пользователи должны перестать видеть предупреждения о ненадежных CA.
В качестве альтернативы, если внутренние сайты имеют публично маршрутизируемые FQDN (например, site.com вместо site.local), вы можете сэкономить себе много времени и нервов, купив SSL-сертификат за 10 долларов от eNom или аналогичного поставщика. Если настройка займет у вас много времени, есть хороший бизнес-кейс, чтобы потратить 10 долларов вместо вашего более ценного времени.