Von Dritten signiertes SSL-Zertifikat für localhost oder 127.0.0.1?
Ohne Preisgabe von ZU viel Informationen, die ich brauche, um das setup eine web-server-system, das verwendet werden soll, durch end-Benutzer über das internet.
den Anwendungsfall ist eine solche, dass:
- end-Benutzer (in der Regel) in Ihren Häusern hinter Ihren lokalen firewalls, wenn der Anschluss an das system.
- Das system besteht aus einem remote-server, von uns gehostet, streng über https (mit SSL)
- Der Autorisierungs-Mechanismus erfordert Benutzerkonto selbst-Schöpfung auf dem remote-server, die nach erfolgreicher account-Erstellung, dann benötigen Sie ein Stück software, die heruntergeladen und installiert werden, um den end-Benutzer' - computer. Diese software enthält unter anderem einen lokalen webserver.
- Dieser "lokalen" webserver muss auch erlaubt nur https-verbindungen zum browser des Benutzers.
Da die verteilte software wird eine einzigartige web-server auf jedem einzelnen Rechner, ich bin mir nicht sicher, wie oder sogar, wenn es möglich ist, um einem DRITTEN SIGNIERTES SSL-Zertifikat, wird nicht dazu führen, Vertrauenswürdigkeit Fehler, wenn der Benutzer eine Verbindung über den web-browser. Natürlich kann es der Verwendung von selbstsignierten SSL-certs, aber die Idee ist zu vermeiden, die browser-Warnungen, so dass der Anwender implizit "Vertrauen", Daten aus Ihrer eigenen Anwendung zu laufen die webserver über SSL.
Ist das möglich?
InformationsquelleAutor der Frage Rimer | 2011-07-22
Du musst angemeldet sein, um einen Kommentar abzugeben.
Wahrscheinlich können Sie uns dieses Angebot ist durch GlobalSign (andere CAs bieten vergleichbare Dienste). In Kürze wird das Angebot können Sie ein CA-Zertifikat (und schreiben Sie die end-user-Zertifikate für "localhost" /was auch immer), die unterzeichnet werden, die durch das GlobalSign-Zertifikat. Die Kosten können erheblich sein, wenn (ich glaube, Sie bestimmen, auf Fall-zu-Fall-basis).
InformationsquelleAutor der Antwort Eugene Mayevski 'Allied Bits
localhost
Werden Sie nie ausgestellt werden, die eine ordnungsgemäße https-Zertifikat localhost. Es ist streng verboten. Da Gründe.
Kurz:
/etc/hosts
localhost.foo.local
es kann zulocalhost
zu beheben falsch (Sie haben wahrscheinlich gesehen, diese Klasse von Fehlern vor)Können Sie erstellen eine root-Zertifikat und dann erstellen Sie eine sogenannte "self-signed" - Zertifikat, unterzeichnet von der Wurzel-Zertifizierungsstelle, die Sie erstellt haben. Erhalten Sie immer noch die hässliche Warnung angezeigt, aber es wird funktionieren.
localhost.daplie.mir (auch 127.0.0.1)
Statt der tatsächlichen
localhost
certs, ich Tue, was Eugen sagt - erstellen Sie eine 127.0.0.1-Eintrag auf einer öffentlichen domain.HTTPS Zertifikate für
localhost.daplie.mich
(sowie eine Reihe von anderen certs für die Prüfung, wielocalhost.foo.daplie.me
localhost.bar.daplie.me
) sind auf Daplie ' s git, wenn andere möchten, verwenden Sie diese als eine partielle Lösung:daplie.mich
ist in die Öffentliche Suffix-Liste undlocalhost.daplie.me
ist auch für den Einschluss.Dies bedeutet, dass cookies, localStorage, etc. gesichert sind, wird gemeinsam mit den Eltern (
daplie.me
) und Geschwister (xyz.daplie.me
).Zeigen Sie Ihrem localhost.MEINE-SLD.MEINE-TLD auf 127.0.0.1
*.localhost.example.com
cert und die Ausgabe von jeder installation ein Geheimnisxyz.localhost.example.com
(und in die öffentliche suffix-Liste, um zu verhindern, dass Angriffe auf example.com)Wenn Sie nicht bekommen, enthalten in der PSL beachten Sie, dass:
Ihr Eigenes Root-Zertifikat
Update: mit Dingen wie greenlockdass die Verwendung ACME /Let ' s Verschlüsseln, ist dies nicht mehr besonders relevant.
Dies ist wahrscheinlich eine wirklich schlechte Idee, da wir nicht möchten, dass die Benutzer daran gewöhnt zu installieren Root-CAs-nolens volens (und wir wissen, wie das stellte sich heraus, für Lenovo), aber für corporate /geklonte Maschinen es kann sein, eine vernünftige low-budget-option.
InformationsquelleAutor der Antwort CoolAJ86
Hatte ich das gleiche Forderung. Also der Grund, warum Sie haben, um SSL zu verwenden ist, weil nur etwa alle browser jetzt barfs, wenn Sie https verwenden und versuchen, eine Verbindung zu einer http-Ressource, auch wenn der http-Ressource ist auf localhost, das ist albern für mich.
Weil der JS SOP unserem localhost-server dient eine js-Datei und dann das JS innerhalb der webapp kann Anrufe tätigen, um diese localhost-webserver.
So machten wir local.example.com zeigen Sie auf 127.0.0.1 und tatsächlich kaufte ein SSL-Zertifikat für diesen Hostnamen. Wir versenden dann den privaten Schlüssel innerhalb dieser web-server installiert wird, auf dem computer des Benutzers. Ja, wir sind verrückt.
All dies funktioniert eigentlich ganz gut. Wir sind ausgeführt worden, wie dies mit ein paar hundert Benutzer für ungefähr 6 Monate jetzt.
Das einzige problem, das wir manchmal in ausgeführt wird, dass diese nicht richtig arbeiten, wenn ein Benutzer ein proxy-server. Die Anfragen werden an den proxy-server und versucht, eine Verbindung zu 127.0.0.1 auf den proxy-server, die offensichtlich nicht funktioniert. Die Arbeit-rund um fügen Sie einen Ausschluss für die proxy-server-Konfiguration, so dass es umgeht die proxy-server für die Anfragen an local.example.com
Einem anderen Szenario wo es ein wenig kompliziert ist, wenn Benutzer versuchen, Citrix oder Terminal Services. Sie müssen sicherstellen, dass die web-server für jeden Benutzer ausgeführt wird, auf einem anderen port und dann informieren Sie Ihre remote-web-server der port-Nummer, so dass die Seiten auf dem server generiert wird, müssen Sie den richtigen port-Nummer. Zum Glück haben wir das nicht, laufen Sie in diesem noch nicht. Es scheint auch, wie mehr Menschen nutzen virtuelle Maschinen, die in diesen Tagen anstelle von Citrix.
Haben Sie jemals finden eine bessere Möglichkeit?
InformationsquelleAutor der Antwort Sarel Botha
Da Sie auf localhost, Sie können erzählen Sie Ihren browser, um das Vertrauen jedes Zertifikat, das Sie möchten.
Machen ein selbst-signiertes Zertifikat für "localhost", und erzählen Sie Ihren browser, ihm zu Vertrauen.
InformationsquelleAutor der Antwort Michael Matthew Toomim
Die Lösung "Zeigen Sie Ihrem localhost.MEINE-SLD.MEINE-TLD zu 127.0.0.1" durch zur Verfügung gestellt von CoolAJ86 funktioniert einwandfrei, und Sie sehen eine detaillierte Erklärung hier:
Wie PLEX macht https für alle Nutzer
PS: ich weiß nur nicht, wie nachhaltig dies ist, weil jemand mit einem ähnlichen Szenario hatte Ihren Schlüssel von der ZERTIFIZIERUNGSSTELLE gesperrt, als ob der Schlüssel war gefährdet.
InformationsquelleAutor der Antwort drizin