DNS и SSL на самом деле не в моей рулевой рубке больше, чем элементарное понимание, я надеюсь, что то, что я хочу сделать, не невозможно!
Вот ситуация:
- У нас есть внутренний домен и DNS-сервера, назовем его
внутри компании.com
- Мы переходим с самоподписанных сертификатов и купили сертификат DV с подстановочными знаками для
*.inside-company.com -- Это все внутри, так что DV достаточно
- Большинство пользователей полагаются на домен поиска по умолчанию и тип
применение/ или же https://приложение в свои веб-браузеры вместо полного доменного имени
Насколько я могу судить, сейчас происходит следующее:
- Браузер выполняет DNS-запрос и разрешает IP
- Браузер загружает IP и проверяет имя SSL
- Браузер подбрасывает
net::ERR_CERT_COMMON_NAME_INVALID Этот сервер не смог доказать, что это приложение; его сертификат безопасности получен от *.inside-company.com., я предполагаю, потому что он еще не переписал URL-адрес в адресной строке с полным доменным именем (и действительно, адресная строка все еще показывает https://приложение/ на данном этапе)
Здесь можно что-нибудь сделать? Повторное обучение пользователей использованию полного доменного имени... не совсем жизнеспособный вариант. Происходит во всех браузерах, я только что дал хрому словоблудие для ошибки.
Кроме того, причина, по которой мы получили групповой сертификат, заключается в том, что мы конвертируем сотни самозаверяющих сертификатов, покупка одного сертификата для каждого приложения или даже одного сертификата для каждого сервера будет непомерно дорогой.
Спасибо!
