ลบโดเมนออกจากชื่อโฮสต์ในขณะที่ใช้ใบรับรองตัวแทนของโดเมน

Victor

13/5/23 11:10

ฉันกำลังตั้งค่าเครือข่ายขนาดเล็กที่มีเซิร์ฟเวอร์หลายตัว เช่น vaultwarden, jenkins และ gitlab

ฉันต้องการใช้ https กับใบรับรองที่ลงนามโดย CA ในการทำเช่นนั้น ฉันได้ซื้อโดเมน (เช่น foobar.com) และได้รับใบรับรองตัวแทนสำหรับ *.hq.foobar.com แล้ว

เมื่อฉันเข้าถึง https://vaultwarden.hq.foobar.com/ ฉันไม่มีข้อตำหนิจากเบราว์เซอร์ของฉัน และใบรับรองนั้นถูกต้อง

ไม่น่าแปลกใจเลย หากฉันเข้าถึง https://vaultwarden/ เบราว์เซอร์จะเตือนเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น เนื่องจากใบรับรองที่ออกนั้นใช้ได้สำหรับโดเมนใน *.hq.foobar.com เท่านั้น

คำถามของฉันคือ มีวิธีใดบ้างที่จะหลีกเลี่ยงการใช้ชื่อยาวเช่นนี้ (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) สำหรับบริการทั้งหมดในเครือข่ายของฉันในขณะที่รักษาใบรับรองที่เชื่อถือได้ต่อสาธารณะ

ฉันต้องการหลีกเลี่ยงการใช้ใบรับรองที่ลงนามด้วยตนเอง หรือการสร้าง CA ส่วนตัว และต้องเชื่อถือใบรับรองเหล่านั้นในคอมพิวเตอร์ทุกเครื่องในเครือข่ายของฉัน

บริษัทจัดการเรื่องนี้อย่างไร? ทุกที่ที่ฉันทำงานมาก่อนมีใบรับรองที่ลงนามด้วยตนเอง ซึ่งดูเหมือนจะไม่ปลอดภัยสำหรับฉัน แต่สะดวก

0 + 0

ssl-ใบรับรอง

Ryan Bolger

13/5/23 16:39

ฉันจะพยายามใช้ชื่อโดเมนแบบเต็ม (FQDNs) ทุกที่ ชื่อสั้นทำให้เกิดความสับสนและความกำกวม เครื่องมือส่วนใหญ่ที่คุณใช้ เช่น เว็บเบราว์เซอร์มีคุณสมบัติที่ทำให้การใช้ FQDN เจ็บปวดน้อยลง ไม่เพียงแต่มีที่คั่นหน้าและทางลัดเท่านั้น แต่เบราว์เซอร์ส่วนใหญ่จะติดตามตำแหน่งที่คุณเคยไป ดังนั้นสิ่งที่คุณเยี่ยมชมมักจะเติมข้อความอัตโนมัติในแถบที่อยู่หลังจากพิมพ์อักขระไม่กี่ตัว

ตอบกลับ

Victor

13/5/23 17:08

นั่นคือสิ่งที่ฉันคาดหวัง ใช่ เมื่อคุณได้ไปเยี่ยมเยียนเจ้าของที่พักแล้วครั้งหนึ่ง มันง่ายมากที่จะกลับไปเยี่ยมเยียนอีกครั้ง ฉันแค่กังวลเกี่ยวกับลิงค์ยาว ๆ ในเอกสารและอื่น ๆ แต่ฉันคิดว่ามันเป็นสิ่งที่ฉันต้องเรียนรู้ที่จะอยู่กับมัน

ตอบกลับ

Score:2

Server

Crypt32

13/5/23 11:54

คำถามของฉันคือ มีวิธีใดบ้างที่จะหลีกเลี่ยงการใช้ชื่อยาวเช่นนี้ (gitlab.hq.foobar.com, jenkins.hq.foobar.com...) สำหรับบริการทั้งหมดในเครือข่ายของฉันในขณะที่รักษาใบรับรองที่เชื่อถือได้ต่อสาธารณะ

ไม่. ไม่อนุญาตให้ใช้ NetBIOS (ชื่อโฮสต์เท่านั้น) ใน Internet PKI ทุกใบรับรองจะออกให้กับชื่อโฮสต์ (หรือโฮสต์ทั้งหมดในกรณีของไวด์การ์ด) ในโดเมนที่ระบุ และคุณต้องพิสูจน์ความเป็นเจ้าของโดเมน

ในกรณีของคุณ https://vaultwarden/ ถือว่าเป็นป้ายชื่อเดียว ห้องนิรภัย โดเมน ไม่ใช่ชื่อโฮสต์ ไม่อนุญาตให้ใช้โดเมนป้ายกำกับเดียว และคุณไม่สามารถพิสูจน์ความเป็นเจ้าของโดเมน และคุณไม่สามารถซื้อได้ ซึ่งหมายความว่าคุณไม่สามารถทำได้ด้วยใบรับรองที่ได้รับจาก CA ที่เชื่อถือได้ทั่วโลก

แทนที่จะใช้ใบรับรองที่ลงนามเอง คุณสามารถใช้ CA ส่วนตัวซึ่งเชื่อถือได้ภายในสภาพแวดล้อมที่คุณจัดการเท่านั้น

0 + 0

Victor

13/5/23 17:09

ขอบคุณ มันเป็นสิ่งที่ฉันคาดเดา แต่ต้องการการยืนยันบางอย่าง ฉันจะพยายามให้ทุกคนคุ้นเคยกับ FQDN และถ้าไม่ เราจะไปที่เส้นทาง CA ส่วนตัว ขอบคุณ.

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Remove domain from hostname while using domain wildcard certificate

TH: ลบโดเมนออกจากชื่อโฮสต์ในขณะที่ใช้ใบรับรองตัวแทนของโดเมน

RO: Eliminați domeniul din numele gazdei în timp ce utilizați certificatul wildcard de domeniu

RU: Удалить домен из имени хоста при использовании подстановочного сертификата домена

VI: Xóa tên miền khỏi tên máy chủ trong khi sử dụng chứng chỉ ký tự đại diện tên miền

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา