Как перейти на HTTPS в локальной сети?

Question

[GK566]

Доброго времени суток!

Начиная с 68-ой версии Chrome стал помечать http-сайты как небезопасные. С 70-ой версии будет красная строчка.

https://habr.com/company/globalsign/blog/349428/

Как правильно перевести локальные сайты предприятия на https?

Answer 1

[Александр]

Выпустить свой корневой сертификат, им подписать сертификат для сервера. Корневой сертификат установить на все машины предприятия. Как то так

Comments

[GK566]

Спасибо!

Answer 2

[Кирилл Елишев]

Хоть решение уже есть, напишу свой вариант. Использую для таких целей letsencrypt. Поставил на внутренний сервер с апачем и не нужно ставить сертификат на все машины внутри сети.

Comments

[Сергей Поздняков]

Можете подробней описать как вы получали сертификат для локальных доменов? letsencrypt нужен доступ извне к серверу, либо к днс. Это все локально. Как вы вышли из этой ситуации?

[Кирилл Елишев]

Имя домена привязано к реальному домену компании, вида crp.example.com. Для получения сертификата сделал временный nat для этого сервера с привязкой имени portal.crp.example.com. На самом деле решение было не очень удачным, т.к. сертификат требует постоянного обновления, а занимать постоянно порт 80 на внешнем IP мне не нравилось. В данный момент внутренний сервер уехал на внешний с белым списком IP и автоматически работающим certbot (letsencrypt), перед запуском которого отключается белый список, и после запуска включается обратно.
В случае использования домена в зоне .local такое решение будет проблематично реализовать. Возможно (я не проверял), получится сделать с использованием своего домена третьего уровня и последующего переопределения этого домена на локальный IP. Но всё равно это вызывает кучу вопросов, каким образом реализовать автоматический сценарий обновления сертификата.
Как итог, я отказался от своего решения, которое предлагал здесь два года назад.