私は、1台のコンピュータがDHCP、DNS、およびWebサーバーとして使用される小規模企業ネットワークを運営しています。 machinary.ao や resources.ao などのローカルドメインを使用します。
SSLを使いたいです。コンピュータとネットワークはインターネットに接続されておらず、すべてがローカルで行われ、入ったり出たりすることはありません。
ApacheでSSLを有効にし、そのためのいくつかの証明書を作成しました。問題は、ブラウザがSSL証明書を受け入れず、すべてのブラウザがそれを信頼できないと言うことです。
なぜそんなことですか?私は何をすべきですか?セキュリティのためにSSLを使用したいのですが、どのように信頼できるものにできますか?
SSL証明書の費用を無駄に支払いたくありません。すでにローカルネットワークがあり、それをより安全にしたいと思います。
現地の認証局から署名された証明書を受け取るにはどうすればよいですか?それともどうすればいいですか?
答え1
ネットワークが小さく、インターネットに接続されていません。
SSLを使用してどのようなリスクを軽減しますか?
内部ネットワークでSSLを使用すると、セキュリティ層が追加されますが(ネットワーク使用量に応じて)ネットワークトラフィック全体の(非常に)小さい部分にのみ適用されます。
ネットワークの一部が無線であり、WLANのセキュリティを信頼していない場合は、VPNを介して無線クライアントを接続することを検討できます。
それに加えて、誰かがネットワークを盗聴することを心配している場合、問題ははるかに大きくなります。このような場合は、警備員や警備員などの物理的なセキュリティ対策が必要です。
答え2
前提条件:証明書を作成した場合(個人)認証局があり、作成段階ですでに証明書に署名しているとします。
つまり、主な問題は、特定の証明書の所有者を識別することです。すべてのブラウザには、信頼できる認証局によって発行された信頼できる証明書セットがあります。 httpsプロトコルを使用してWebサイトを開くと、ブラウザはWebサイトの証明書が既知の証明機関によって署名されていることを確認します(CAの証明書を使用)。こうすることで、信頼できる大規模な会社で「良い、証明書は良好で有効です」と言えます。あなたの場合、問題はあなたがCAではないということです。したがって、ブラウザは発生する可能性のあるリスクをユーザーに伝えます。この問題を解決するには、使用しているすべてのブラウザに証明書が良好であることを知らせる必要があります(証明書の警告があるページで「例外を追加」などの項目を検索してください)。
答え3
上記のように、各ブラウザに例外を生成するように手動で指示できます。
しかし、これはあなたが望むものではないかもしれません。
もちろん、これらの内部公開鍵インフラストラクチャを使用する大企業などの自己認証機関でもあります。
これを行う方法を正確に知ることはできませんが、始めるのに役立ついくつかのリンクは次のとおりです。
https://help.ubuntu.com/lts/serverguide/certificates-and-security.html
https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate
少なくともPKIとCAがどのように機能するかを理解しているのであれば、これを行う方法を見つけることはそれほど難しくありません。