înregistrare Logare
Puncte:0
avatar Server

Eliminați domeniul din numele gazdei în timp ce utilizați certificatul wildcard de domeniu

drapel ro
Victor

Am configurat o rețea mică cu mai multe servere, cum ar fi vaultwarden, jenkins și gitlab.

Vreau să folosesc https cu un certificat semnat CA. Pentru a face acest lucru, am achiziționat un domeniu (să spunem foobar.com) și am obținut deja un certificat wildcard pentru *.hq.foobar.com.

Când accesez https://vaultwarden.hq.foobar.com/ Nu am reclamații din partea browserului meu, iar certificatul este valabil.

Deloc surprinzător, dacă accesez https://vaultwarden/, browserul avertizează despre un potențial risc de securitate, deoarece certificatul emis este valabil doar pentru domeniile din *.hq.foobar.com.

Întrebarea mea este, există vreo modalitate de a evita să am nume atât de lungi (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) pentru toate serviciile din rețeaua mea păstrând în același timp un certificat de încredere public?

Aș dori să evit să folosesc certificate autosemnate sau să creez un CA privat și să am încredere în oricare dintre acestea din toate computerele din rețeaua mea.

Cum reușesc companiile acest lucru? Oriunde am lucrat înainte aveau certificate autosemnate, ceea ce nu mi se pare sigur, dar era convenabil.

27
0 + 0
Ryan Bolger avatar
drapel tz
Ryan Bolger
Aș încerca să mă obișnuiesc să folosesc peste tot nume de domenii complet calificate (FQDN). Numele scurte provoacă doar confuzie și ambiguitate. Majoritatea instrumentelor pe care le utilizați, cum ar fi browserele web, au caracteristici pentru a face utilizarea FQDN-urilor mai puțin dureroasă. Nu numai că există marcaje și comenzi rapide, dar majoritatea browserelor țin evidența unde ați fost, astfel încât orice vizitați des se va completa automat în bara de adrese după ce ați tastat câteva caractere.
0
Răspunde
drapel ro
Victor
La asta mă așteptam. Da, odată ce ați vizitat gazda o dată, este ușor să vizitați din nou. Eram doar mai îngrijorat de legăturile lungi în documentație și altele, dar cred că este ceva cu care trebuie să învăț să trăiesc.
0
Răspunde
Puncte:2
avatar Server
drapel cn
Crypt32

Întrebarea mea este, există vreo modalitate de a evita să am nume atât de lungi (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) pentru toate serviciile din rețeaua mea păstrând în același timp un certificat de încredere public?

Nu. NetBIOS (numai numele de gazdă) nu este permis în Internet PKI. Fiecare certificat este emis împotriva unui nume de gazdă (sau a tuturor gazdelor în cazul caracterului joker) din domeniul specificat. Și trebuie să dovediți dreptul de proprietate asupra domeniului.

In cazul tau, https://vaultwarden/ este tratat ca o singură etichetă seif domeniu, nu un nume de gazdă. Nici domeniile cu o singură etichetă nu sunt permise și nu puteți dovedi proprietatea și nici nu le puteți cumpăra. Aceasta înseamnă că nu puteți face acest lucru cu un certificat obținut de la CA de încredere la nivel global.

În loc să utilizați certificate autosemnate, poate fi convenabil să utilizați CA privat, care este de încredere numai în mediul pe care îl gestionați.

0 + 0
drapel ro
Victor
Mulțumesc, este ceea ce am ghicit, dar am vrut o confirmare. Voi încerca să-i obișnuiesc pe toată lumea cu FQDN și, dacă nu, vom merge pe ruta CA privată. Mulțumiri.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.