我家里有一个 Synology NAS,它有一个基于 Web 的用户界面,我可以将它公开给公共 Internet。在我的局域网内,我的 NAS 有主机名nas.domain.local.,在公共互联网上,我的域名home.notarealdomainname.com.指向我的家用路由器(然后将端口 7000 转发到端口 443 上的 NAS HTTPS 服务器)。
我的NAS自带的自签名证书,是不是真的适合目的,我想安装一个SNI证书,同时支持主机名nas.domain.local.,除了home.notarealdomainname.com.-但是所有主要CA的执行某种形式的域名验证的(如他们应该!)但他们无法验证我的.local.域名,因此他们不会颁发该证书。
我不想颁发自己的证书,因为为了方便使用,我希望浏览器信任该证书。
公共 CA 只会为公共域颁发证书。有一段时间他们确实这样做了但放弃了这种行为,因为这会导致新引入的顶级域出现问题。此外,CA 只为仅由单一方拥有和使用的域颁发证书,内部名称则不然。
这意味着:要么在所有内部设备上接受一次自签名证书,要么需要滚动自己的私有 PKI 结构并在所有设备上导入相关的根 CA。
| 归档时间: |
|
| 查看次数: |
1344 次 |
| 最近记录: |