我们在混合 Windows / Linux 环境中运行由 Ubuntu 16.04 服务器和用于内部资源的 OpenSSL 后端提供支持的内部证书颁发机构。
该 CA 与一些内部网站一起使用,试图为内部网站、软件部署等提供有效、可信的站点证书。我们有一个问题。
CA 根证书由 GPO 推送到我们所有的 Windows 系统,或者手动安装。但是,该 CA 签署的每个证书最终都会出现一些问题 - Chrome 和 Firefox 都表明该证书的通用名称无效,而其他实用程序(例如此处的 XMPP 服务器)无法验证该证书,即使 CA 证书在信托商店。
只有 Internet Explorer 遵守该证书。不幸的是,我们是一个 Chrome 和 Firefox 的房子,所以使用 IE 来处理所有事情将是一个问题。
有没有人想出一个解决方案来制作 OpenSSL CA 证书及其签发的证书的签名证书在 Chrome 和 Firefox 上没有“无效的通用名称”错误,从而允许将内部证书视为“有效”?
我在这里有一个实验室环境,用于测试只能在这个“实验室环境”网络上运行的软件。
为此,“实验室环境”有一个位于网络外围的 pfsense 防火墙,充当“网关”。
我需要设置 pfSense 以禁止所有内部 LAN 地址连接出站到 Internet,但具有静态寻址的 IP 的单个系统除外。
我尝试阻止但FROM LAN Address -> (any)没有运气,因为系统仍然能够使用该规则访问互联网。我认为,为此创建“通过”规则很容易FROM 172.16.1.1 TO (any)。
有人可以帮我解决这些防火墙规则吗?对 pfSense 有点陌生,因为我来自iptables网络边缘环境,因此将不胜感激。