Могу ли я использовать сертификат от letsencrypt для подписи локальных сертификатов?

Меня раздражает доступ к маршрутизаторам и точкам доступа в 192.168.x.x, чтобы получить предупреждения системы безопасности.

Я мог бы создать свой собственный корневой сертификат и импортировать его во все мои браузеры и т. Д., А также создать сертификаты для всех локальных серверов.

Но я бы предпочел цепное устройство -> www.example.com -> letsencrypt -> root

Тогда также гости могут использовать мои локальные серверы / службы без этой ошибки безопасности.

1
Leif Neland 1 Окт 2018 в 12:02

2 ответа

Лучший ответ

Нет, вы не можете, потому что для сертификата, выданного вам letsencrypt, не будет включено использование ключа certificate signing. Без этого атрибута у эмитента любой браузер или клиент SSL должен отклонить сертификат.

Если бы это было возможно, любой мог бы выдавать действительные сертификаты для любого сервера, просто имея действующий сертификат от доверенного центра сертификации.

Если вы хотите выдавать сертификаты для своих локальных серверов, вам нужно будет создать свой собственный ЦС и включить корневой сертификат в хранилище доверенных сертификатов каждого клиента.

1
pedrofb 1 Окт 2018 в 11:08

Да, можно ... но не так

Да , вы можете получить сертификаты для серверов в частной сети. Домен должен быть реальным доменом с общедоступными записями txt , но записи A, AAAA и CNAME могут быть частными / немаршрутизируемыми (или находиться в частной зоне).

Нет , для этого не нужно использовать сертификаты Let's Encrypt для подписи локальных сертификатов.

Вы можете выполнить именно то, что хотите, с помощью задачи DNS-01 (установка записей txt для вашего домена).

Кто у вас провайдер домена / DNS?

Немедленное, но временное решение

Если вы хотите быстро проверить это, попробуйте https://greenlock.domains и выберите DNS вместо HTTP для шага «как вы хотите это сделать?».

Автоматическая интеграция

Если вам нужно настраиваемое, автоматическое и развертываемое решение, попробуйте greenlock.js (там - плагины узлов для Cloudflare, Route 53, Digital Ocean и некоторых других поставщиков DNS).

Оба используют Let's Encrypt под капотом. Certbot также может использоваться в любом случае и может использовать плагины python.

Возможно связанные ...

Постскриптум Вас также может заинтересовать такая услуга, как Telebit, localtunnel или ngrok.

-2
CoolAJ86 10 Сен 2019 в 06:29