SSL-Zertifikat intern verwenden

lagstar

Blog Benutzer
Hallo Leute,

vielleicht könnt ihr mir ja helfen - habt ihr in der Zukunft ja öfters :)

Folgende Ausgangssituation:
Webserver hinter Router mit fester IP-Adresse, Router mach Portforwarding Port 443 auf Webserver. Portforwarding greift aber nur von einer bestimmten Source-IP. Also kein öffentlicher Zugriff wie eine Webseite sondern nur "spezielle" IP-Adressen können den Web-Server erreichen.

Das Ganze soll dann auch eben über https:// (ssl) erreichbar sein.

Folgende Fragen stehen offen:

1. brauche ich überhaupt für dieses Szenario ein SSL-Zertifikat "mieten"? Damit die Browserleiste grün ist, kann ja wohl nicht der Grund sein ;-) Es sind interne Benutzer denen ich sagen kann, es ist vertrauenswürdig...

2. Wenn ich eins "miete", kann ich es dann nur an die feste IP-Adresse binden, ohne Domain?

3. Wenn ich kein Zertifikat mieten muss, installiere ich eins selbst-signiertes auf dem Webserver, richtig?



Wäre super wenn ihr mir kurz Rückmeldung gebt, danke im Voraus!
 

Lord Gurke

Nur echt mit 32 Zähnen
2. Zertifikat ist immer Domain gebunden
Ein Zertifikat kann auch für eine IP-Adresse ausgestellt werden. Es muss aber dann halt die IP-Adresse in der Adresszeile mit der im Zertifikat übereinstimmen - so wie es bei Domains auch ist.
Bieten einige CAs als "Mehrwert" an, der dann entsprechend extra kostet.

Eine Alternative für kostenlose Zertifikate ist auch CACert.org - denen vertraue ich persönlich mehr als dem Mossad ;)
Allerdings müssten - um Warnungen zu umgehen - die Rootzertifikate von CACert manuell beim Client installiert werden.
 

GwenDragon

Registered User
CACert wird bei vielen Browsern nicht als vertrauenswürdige Root-CA angesehen.
Wenn mal erst das Zertifikat importieren muss, kann man gleich eine eigene Root-CA für den eigenen Server machen, dann hat man alle Kontrolle ;)
 

rolapp

Fan vom SSF
Ein Zertifikat kann auch für eine IP-Adresse ausgestellt werden. Es muss aber dann halt die IP-Adresse in der Adresszeile mit der im Zertifikat übereinstimmen - so wie es bei Domains auch ist
Das wusste ich jetzt nicht, wieder was gelernt.
Danke
 

knoppers

Registered User
Hallo Leute,
....Damit die Browserleiste grün ist, kann ja wohl nicht der Grund sein ;-) Es sind interne Benutzer denen ich sagen kann, es ist vertrauenswürdig...

Nur nebenbei bemerkt ist nicht mit jedem Zertifikat die Leiste "Grün"!
Ein Zertifikat welches diese Funktion beinhaltet liegt bei durchschnittlich ~150€ und erfordert eine erweiterte Authentifizierung beim Aussteller.
 
Top