Регистрация Войти
Рейтинг:0
avatar Server

Удалить домен из имени хоста при использовании подстановочного сертификата домена

флаг ro
Victor

Я настраиваю небольшую сеть с несколькими серверами, такими как vaultwarden, jenkins и gitlab.

Я хочу использовать https с сертификатом, подписанным CA. Для этого я купил домен (скажем, foobar.com) и уже получил групповой сертификат для *.hq.foobar.com.

Когда я получаю доступ https://vaultwarden.hq.foobar.com/ У меня нет жалоб от моего браузера, и сертификат действителен.

Неудивительно, что если я захожу на https://vaultwarden/, браузер предупреждает о потенциальной угрозе безопасности, поскольку выданный сертификат действителен только для доменов в *.hq.foobar.com.

Мой вопрос: есть ли способ избежать таких длинных имен (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) для всех служб в моей сети, сохраняя при этом общедоступный сертификат?

Я хотел бы избежать использования самозаверяющих сертификатов или создания частного ЦС и необходимости доверять любому из них на всех компьютерах в моей сети.

Как компании справляются с этим? Везде, где я работал раньше, были самоподписанные сертификаты, которые мне не кажутся безопасными, но это было удобно.

27
0 + 0
Ryan Bolger avatar
флаг tz
Ryan Bolger
Я бы попытался привыкнуть к использованию полных доменных имен (FQDN) везде. Короткие названия только вызывают путаницу и двусмысленность. Большинство инструментов, которые вы используете, например веб-браузеры, имеют функции, которые делают использование полных доменных имен менее болезненным. Существуют не только закладки и ярлыки, но и большинство браузеров отслеживают, где вы были, так что все, что вы часто посещаете, обычно автоматически заполняется в адресной строке после ввода нескольких символов.
0
Ответить
флаг ro
Victor
Это то, что я ожидал. Да, однажды посетив хозяина, легко зайти снова. Я просто больше беспокоился о длинных ссылках в документации и тому подобном, но я думаю, что мне нужно научиться с этим жить.
0
Ответить
Рейтинг:2
avatar Server
флаг cn
Crypt32

Мой вопрос: есть ли способ избежать таких длинных имен (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) для всех служб в моей сети, сохраняя при этом общедоступный доверенный сертификат?

нет. NetBIOS (только имена хостов) не разрешены в Internet PKI. Каждый сертификат выдается для имени хоста (или всего хоста в случае подстановочного знака) в указанном домене. И вы должны доказать право собственности на домен.

В твоем случае, https://vaultwarden/ рассматривается как однокомпонентный хранитель свода домен, а не имя хоста. Домены с одной меткой тоже не допускаются, и вы не можете подтвердить их право собственности, и вы не можете их купить. Это означает, что вы не можете сделать это с сертификатом, полученным от глобально доверенного ЦС.

Вместо использования самозаверяющих сертификатов может быть удобно использовать частный центр сертификации, которому доверяют только в среде, которой вы управляете.

0 + 0
флаг ro
Victor
Спасибо, я так и предполагал, но хотел подтверждения. Я постараюсь, чтобы все привыкли к полному доменному имени, а если нет, то мы пойдем по маршруту частного центра сертификации. Спасибо.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.