Сертификат для собственного сайта в локальной сети / точка доступа?

Question

[Prg]

Есть к примеру точка доступа - при подключении есть возможность перейти на свой домен - mysite.com
Нужно что-бы пользователь при переходе не видел предупреждение о том что сертификат не безопасен. Возможно есть какой-либо метод реализации? (За исключением добавления сертификата на устройство в ручную).

Comments

[John1969]

Если сайт исключительно локальный, то выпускать самоподписанный сертификат и устанавливать его в доверенные сертификаты на каждом локальном ПК.
Если есть доменное имя, типа *.ru то уже все сказали с сертификатами LE

Answer 1

[ky0]

Делайте валидный сертификат, либо отправляйте на сайт без шифрования.

Comments

[AlexVWill]

валидный сертификат самому не сделать, ибо сертификат сервера должен быть подписан любым СЦ (прямо или через цепочку сертификатов), которым доверяет браузер конечного клиента...

[ky0]

AlexVWill, и как озвученное вами противоречит моему ответу? То, что сайт локальный, не означает автоматически, что у него не может быть подписанного публичным УЦ сертификата.

[AlexVWill]

ky0, А, ну я прочел это как самому делать валидный сертификат, через свой СЦ. ))) Ну, я то как раз понял вопрос так, что сайт то не локальный. а публичный, на который надо откуда то переходить...

Answer 2

[AntHTML]

1) у каждой уважающей конторы есть зарегистрированное в интернете доменное имя mysite.com
2) нам нужно сделать captive portal
2.1) поднимаем в DMZ веб-сервер называем его cp.mysite.com
2.2) как сказал AlexVWill выпускаем в certbot бесплатный сертификат
2.3) прописываем в DNS роутера записи для направления трафика на cp.mysite.com
2.4) настраиваем фаервол на полный доступ к let's encrypt для получения корневых сертификатов и СОС
3) радуемся жизни

Answer 3

[AlexVWill]

let's encrypt - certbot https://certbot.eff.org/
нужно запустить certbot на своем web сервере, он создаст сертификат и пропишет его в конфиге Apache2

Comments

[Prg]

А устройства разве будут сертификат локального домена в локальной сети определять как доверенный?) Просто разное почитал, в разных источниках и везде пишут что невозможно такое реализовать но именно с let's encrypt еще не пробовал.

[AlexVWill]

Prg, если домен локальный - то нет, через certbot это не сделать, по крайней мере стандарным подходом, потому что certbot должен иметь возможность на web сервере по 80 порту связаться со своим сервером для создания сертификата...
Вообще, традиционно mysite.com обозначает некий публичный сайт, если надо писать про внутренний, то пишут site.local

[Prg]

AlexVWill, да на самом деле вся проблема в том что это скорее эмитация внешнего сайта, а на деле он локальный но без уведомлений о сертификате и не безопасности сайта.

[AlexVWill]

Prg, а если он локальный, то зачем ему HTTPS? Это все шифрование нужно только для одного - защита трафика при передачи через ненадежные каналы, если все внутри LAN, то такие упражнения излишни.

[AntHTML]

а если он локальный, то зачем ему HTTPS?

Большинство популярных CMS, всяких ВКС, чатов и тп выпилили поддержку HTTP, да и браузеры часто ругаются и по умолчанию пытаются переконнектится в HTTPS

[Пума Тайланд]

Prg, если домен обычный в ру или ком то все будет без проблем работать

Answer 4

[CityCat4]

Возможно есть какой-либо метод реализации?

Нету. Сертификаты именно для этого и были придуманы :) Можно выпустить самому и добавлять всюду, можно поставить с LE

Comments

[Vindibona]

Получить нормальны сертификат.
А в локальной сети использовать харпин нат
Не?

[CityCat4]

Vindibona, что такое "нормальный" сертификат? Сертификат не бывает нормальным или ненормальным, он бывает доверенным или нет.

Answer 5

[FilimoniC]

Непонятно в чем проблема. Если речь про некий портал где пользователь должен авторизоваться перед использованием сети, то смотри в Гугле про Captive portal. Кратко - адрес портала вшивается в dhcp 114, в редирект с connectivitycheck.gstatic.com и captive.apple.com. в целом редирект с любого http на твой сайт с https, при этом это может быть вообще сайт в облаке но до него открыт доступ.

Если же тебе надо поставить сертификаты на точки доступа и роутер, например, для админки, то смотри в сторону acmedns. Суть простая - есть сервис в интернете (публичный и бесплатный), который за тебя получает сертификаты. Тебе надо поставить на точки клиента и щарегаться в этом сервисе.
Тут подробно расписал https://wiki.fil.guru/t/openwrt-acmedns-tls

Answer 6

[ki11j0y]

Есть LE wildcard сертификаты, можно через dns api mode, для локальной сети получить. Либо подымать свой уц по типу лёгкого XCA либо более тяжелое AD. И раскидать ROOT сертификат.

Answer 7

[Dupych]

Как сделано у меня.
1 белый ip
Куча серверов
web.domen.ru
cloud.domen.ru
mail.domen.ru, autodiscovery.domen.ru, downloads mail.domen.ru
temp.domen.ru
nagios.domen.ru

Так вот первым делом я удалил на всех порты.
На каждый сервер попадал через проброс разных портов.
Web.domen.ru стал прокси для всех серверов.
Удобно.
Апач умеет переходить по имени.
Встал вопрос с сертификатами.
Так вот Web.domen.ru для них автоматически получает его на LetsCrypt.
Все это делал при помощи ИИ.
Счастлив как слон.
У серверов сохранились родные порты 80 443.
https://mail.domen.ru
https://cloud.domen.ru..... и тд
И плюс автоматом сертификаты обновляются.