Von Dritten signiertes SSL-Zertifikat für localhost oder 127.0.0.1?

Ohne Preisgabe von ZU viel Informationen, die ich brauche, um das setup eine web-server-system, das verwendet werden soll, durch end-Benutzer über das internet.

den Anwendungsfall ist eine solche, dass:

  • end-Benutzer (in der Regel) in Ihren Häusern hinter Ihren lokalen firewalls, wenn der Anschluss an das system.
  • Das system besteht aus einem remote-server, von uns gehostet, streng über https (mit SSL)
  • Der Autorisierungs-Mechanismus erfordert Benutzerkonto selbst-Schöpfung auf dem remote-server, die nach erfolgreicher account-Erstellung, dann benötigen Sie ein Stück software, die heruntergeladen und installiert werden, um den end-Benutzer' - computer. Diese software enthält unter anderem einen lokalen webserver.
  • Dieser "lokalen" webserver muss auch erlaubt nur https-verbindungen zum browser des Benutzers.

Da die verteilte software wird eine einzigartige web-server auf jedem einzelnen Rechner, ich bin mir nicht sicher, wie oder sogar, wenn es möglich ist, um einem DRITTEN SIGNIERTES SSL-Zertifikat, wird nicht dazu führen, Vertrauenswürdigkeit Fehler, wenn der Benutzer eine Verbindung über den web-browser. Natürlich kann es der Verwendung von selbstsignierten SSL-certs, aber die Idee ist zu vermeiden, die browser-Warnungen, so dass der Anwender implizit "Vertrauen", Daten aus Ihrer eigenen Anwendung zu laufen die webserver über SSL.

Ist das möglich?

InformationsquelleAutor der Frage Rimer | 2011-07-22

  1. 2

    Wahrscheinlich können Sie uns dieses Angebot ist durch GlobalSign (andere CAs bieten vergleichbare Dienste). In Kürze wird das Angebot können Sie ein CA-Zertifikat (und schreiben Sie die end-user-Zertifikate für "localhost" /was auch immer), die unterzeichnet werden, die durch das GlobalSign-Zertifikat. Die Kosten können erheblich sein, wenn (ich glaube, Sie bestimmen, auf Fall-zu-Fall-basis).

    InformationsquelleAutor der Antwort Eugene Mayevski 'Allied Bits

  2. 24

    localhost

    Werden Sie nie ausgestellt werden, die eine ordnungsgemäße https-Zertifikat localhost. Es ist streng verboten. Da Gründe.

    Kurz:

    • Falsch konfigurierte Geräte tatsächlich existieren in der wildnis, das warten für Suchvorgänge vor der Lösung localhost aus /etc/hosts
    • Wenn ein router definiert localhost.foo.local es kann zu localhost zu beheben falsch (Sie haben wahrscheinlich gesehen, diese Klasse von Fehlern vor)

    Können Sie erstellen eine root-Zertifikat und dann erstellen Sie eine sogenannte "self-signed" - Zertifikat, unterzeichnet von der Wurzel-Zertifizierungsstelle, die Sie erstellt haben. Erhalten Sie immer noch die hässliche Warnung angezeigt, aber es wird funktionieren.

    localhost.daplie.mir (auch 127.0.0.1)

    Statt der tatsächlichen localhost certs, ich Tue, was Eugen sagt - erstellen Sie eine 127.0.0.1-Eintrag auf einer öffentlichen domain.

    HTTPS Zertifikate für localhost.daplie.mich (sowie eine Reihe von anderen certs für die Prüfung, wie localhost.foo.daplie.melocalhost.bar.daplie.me) sind auf Daplie ' s git, wenn andere möchten, verwenden Sie diese als eine partielle Lösung:

    daplie.mich ist in die Öffentliche Suffix-Liste und localhost.daplie.me ist auch für den Einschluss.

    Dies bedeutet, dass cookies, localStorage, etc. gesichert sind, wird gemeinsam mit den Eltern (daplie.me) und Geschwister (xyz.daplie.me).

    Zeigen Sie Ihrem localhost.MEINE-SLD.MEINE-TLD auf 127.0.0.1

    • Kauf einer *.localhost.example.com cert und die Ausgabe von jeder installation ein Geheimnis xyz.localhost.example.com (und in die öffentliche suffix-Liste, um zu verhindern, dass Angriffe auf example.com)
    • Verwenden ein greenlock-fähigen appum solche Zertifikate generieren " on the fly (durch https://letsencrypt.org) direkt auf dem client (oder übergeben Sie an den Kunden)

    Wenn Sie nicht bekommen, enthalten in der PSL beachten Sie, dass:

    • Sitzungen, localstorage, indexeddb, etc sind geteilt domain
    • ändern des Ports nicht ändern Ihre sharedness

    Ihr Eigenes Root-Zertifikat

    Update: mit Dingen wie greenlockdass die Verwendung ACME /Let ' s Verschlüsseln, ist dies nicht mehr besonders relevant.

    Dies ist wahrscheinlich eine wirklich schlechte Idee, da wir nicht möchten, dass die Benutzer daran gewöhnt zu installieren Root-CAs-nolens volens (und wir wissen, wie das stellte sich heraus, für Lenovo), aber für corporate /geklonte Maschinen es kann sein, eine vernünftige low-budget-option.

    InformationsquelleAutor der Antwort CoolAJ86

  3. 15

    Hatte ich das gleiche Forderung. Also der Grund, warum Sie haben, um SSL zu verwenden ist, weil nur etwa alle browser jetzt barfs, wenn Sie https verwenden und versuchen, eine Verbindung zu einer http-Ressource, auch wenn der http-Ressource ist auf localhost, das ist albern für mich.

    Weil der JS SOP unserem localhost-server dient eine js-Datei und dann das JS innerhalb der webapp kann Anrufe tätigen, um diese localhost-webserver.

    So machten wir local.example.com zeigen Sie auf 127.0.0.1 und tatsächlich kaufte ein SSL-Zertifikat für diesen Hostnamen. Wir versenden dann den privaten Schlüssel innerhalb dieser web-server installiert wird, auf dem computer des Benutzers. Ja, wir sind verrückt.

    All dies funktioniert eigentlich ganz gut. Wir sind ausgeführt worden, wie dies mit ein paar hundert Benutzer für ungefähr 6 Monate jetzt.

    Das einzige problem, das wir manchmal in ausgeführt wird, dass diese nicht richtig arbeiten, wenn ein Benutzer ein proxy-server. Die Anfragen werden an den proxy-server und versucht, eine Verbindung zu 127.0.0.1 auf den proxy-server, die offensichtlich nicht funktioniert. Die Arbeit-rund um fügen Sie einen Ausschluss für die proxy-server-Konfiguration, so dass es umgeht die proxy-server für die Anfragen an local.example.com

    Einem anderen Szenario wo es ein wenig kompliziert ist, wenn Benutzer versuchen, Citrix oder Terminal Services. Sie müssen sicherstellen, dass die web-server für jeden Benutzer ausgeführt wird, auf einem anderen port und dann informieren Sie Ihre remote-web-server der port-Nummer, so dass die Seiten auf dem server generiert wird, müssen Sie den richtigen port-Nummer. Zum Glück haben wir das nicht, laufen Sie in diesem noch nicht. Es scheint auch, wie mehr Menschen nutzen virtuelle Maschinen, die in diesen Tagen anstelle von Citrix.

    Haben Sie jemals finden eine bessere Möglichkeit?

    InformationsquelleAutor der Antwort Sarel Botha

  4. 1

    Da Sie auf localhost, Sie können erzählen Sie Ihren browser, um das Vertrauen jedes Zertifikat, das Sie möchten.

    Machen ein selbst-signiertes Zertifikat für "localhost", und erzählen Sie Ihren browser, ihm zu Vertrauen.

    InformationsquelleAutor der Antwort Michael Matthew Toomim

  5. 0

    Die Lösung "Zeigen Sie Ihrem localhost.MEINE-SLD.MEINE-TLD zu 127.0.0.1" durch zur Verfügung gestellt von CoolAJ86 funktioniert einwandfrei, und Sie sehen eine detaillierte Erklärung hier:

    Wie PLEX macht https für alle Nutzer

    PS: ich weiß nur nicht, wie nachhaltig dies ist, weil jemand mit einem ähnlichen Szenario hatte Ihren Schlüssel von der ZERTIFIZIERUNGSSTELLE gesperrt, als ob der Schlüssel war gefährdet.

    InformationsquelleAutor der Antwort drizin

Schreibe einen Kommentar