Tham gia Đăng nhập
Điểm:0
avatar Server

Xóa tên miền khỏi tên máy chủ trong khi sử dụng chứng chỉ ký tự đại diện tên miền

lá cờ ro
Victor

Tôi đang thiết lập một mạng nhỏ với một số máy chủ như vaultwarden, jenkins và gitlab.

Tôi muốn sử dụng https với chứng chỉ có chữ ký của CA. Để làm như vậy, tôi đã mua một miền (giả sử foobar.com) và đã nhận được chứng chỉ ký tự đại diện cho *.hq.foobar.com.

Khi tôi truy cập https://vaultwarden.hq.foobar.com/ Tôi không có khiếu nại nào từ trình duyệt của mình và chứng chỉ hợp lệ.

Không có gì đáng ngạc nhiên, nếu tôi truy cập https://vaultwarden/, trình duyệt sẽ cảnh báo về rủi ro bảo mật tiềm ẩn, vì chứng chỉ được cấp chỉ hợp lệ cho các miền *.hq.foobar.com.

Câu hỏi của tôi là, có cách nào để tránh có những tên dài như vậy (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) cho tất cả các dịch vụ trong mạng của tôi trong khi vẫn giữ chứng chỉ đáng tin cậy công khai không?

Tôi muốn tránh sử dụng chứng chỉ tự ký hoặc tạo CA riêng và phải tin tưởng bất kỳ chứng chỉ nào trong tất cả các máy tính trong mạng của mình.

Làm thế nào để các công ty quản lý điều này? Mọi nơi tôi làm việc trước đây đều có chứng chỉ tự ký, điều này dường như không an toàn đối với tôi, nhưng nó rất tiện lợi.

27
0 + 0
Ryan Bolger avatar
lá cờ tz
Ryan Bolger
Tôi sẽ cố gắng làm quen với việc sử dụng các tên miền đủ điều kiện (FQDN) ở mọi nơi. Tên ngắn chỉ gây nhầm lẫn và mơ hồ. Hầu hết các công cụ bạn sử dụng như trình duyệt web đều có các tính năng giúp việc sử dụng FQDN bớt khó khăn hơn. Không chỉ có dấu trang và lối tắt, mà hầu hết các trình duyệt đều theo dõi nơi bạn đã đến sao cho mọi thứ bạn thường truy cập thường sẽ tự động hoàn tất trong thanh địa chỉ sau khi nhập một vài ký tự.
0
Hồi đáp
lá cờ ro
Victor
Đó là những gì tôi mong đợi. Vâng một khi bạn đã truy cập máy chủ một lần, thật dễ dàng để truy cập lại. Tôi chỉ lo lắng hơn về các liên kết dài trong tài liệu, v.v., nhưng tôi đoán đó là điều tôi phải học cách chung sống.
0
Hồi đáp
Điểm:2
avatar Server
lá cờ cn
Crypt32

Câu hỏi của tôi là, có cách nào để tránh có những tên dài như vậy (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) cho tất cả các dịch vụ trong mạng của tôi trong khi vẫn giữ chứng chỉ đáng tin cậy công khai không?

không. NetBIOS (chỉ tên máy chủ) không được phép trong Internet PKI. Mọi chứng chỉ được cấp cho tên máy chủ (hoặc tất cả máy chủ trong trường hợp ký tự đại diện) trong miền được chỉ định. Và bạn phải chứng minh quyền sở hữu tên miền.

Trong trường hợp của bạn, https://vaultwarden/ được coi là nhãn đơn kho tiền tên miền, không phải tên máy chủ. Các miền nhãn đơn cũng không được phép và bạn không thể chứng minh quyền sở hữu của nó, bạn cũng không thể mua nó. Điều này có nghĩa là bạn không thể làm điều này với chứng chỉ nhận được từ CA đáng tin cậy trên toàn cầu.

Thay vì sử dụng chứng chỉ tự ký, có thể thuận tiện khi sử dụng CA riêng chỉ được tin cậy trong môi trường bạn quản lý.

0 + 0
lá cờ ro
Victor
Cảm ơn, đó là những gì tôi đã đoán nhưng muốn có một số xác nhận. Tôi sẽ cố gắng làm cho mọi người quen với FQDN và nếu không, chúng tôi sẽ chuyển sang lộ trình CA riêng. Cảm ơn.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.