0
Certificados (autofirmados) en la intranet

Solved 6 Respuestas 1 Views
Buenas tardes,

En la empresa tenemos varios sitios internos a los cuales tengo que implementarles HTTPS

Por lo que lei, necesito montar un servidor que pueda generar los certificados (Centos 7 o Windows 2012) y actuar de entidad de validacion.

La limitante a usar letsencrypt seria que estos servidores son internos, sin acceso a internet. (Tengo que crear mi propio letsencrypt ;P )

¿me podrian orientar?

Desde ya, muchas gracias a todso.

6 Respuestas

0
Mejor respuesta
Buenas tardes a todos,
Despues de unas breves vacaciones, retome este tema y lo logre sacar adelante.

Una vez que me dieron la pauta delo que buscaba, sali a googlear un poco mas y encontre este tutoria, paso a paso, clarisimo y en castellano ;P

EL link: http://cobos.pe/linux/autoridad-certificadora-ca-con-openssl/

Desde ya, muchas gracias a todos por su tiempo y esfuerzo!
respondido por Postgresista (960 puntos) Sep 18
1
Cumpliendo algunos requisitos, podés usar LE en una intranet:
https://blog.thesparktree.com/generating-intranet-and-private-network-ssl

 

Igual, podés usar certificados autofirmados para apache, por ejemplo:
https://www.nanotutoriales.com/como-crear-un-certificado-ssl-de-firma-propia-con-openssl-y-apache-http-server

 

No es necesario tener mayor infra.

 

Saludos!
respondido por deblike (1,120 puntos) Ago 28
1
Tenés que hacer certificados autofirmados o tenés que hacer una CA? Con certificados autofirmados, todos los browsers te van a meter alto warning cuando accedan a un sitio con HTTPS (o dependiendo de la versión del navegador, algunos se van a negar cargar la página).

Si hacés una CA y después instalás el certificado de esa CA en los clientes, te va a andar todo joya.
respondido por godlike (8,270 puntos) Ago 28
1Comentarios
comentado por Postgresista (960 puntos) Ago 28
Gracias *like

Volviendo al tema, si, supongo que entre menos ruido hagan los navegadores va a irme mejor. entonces tengo que ir por la CA.

Voy a intentar lo de LetsEncrypt y vuelvo en un rato.

Mil gracias!
0
Tenés que crear tu propia CA y deployar el certificado de esa CA a todos los browsers/equipos que vayan a consumir SSL de tus servers (se puede hacer con una GPO si tenés un AD, google es tu amigo)

Como alternativa podés generarte un certificado y usar los de http://www.cacert.org/

Tanto en Debian como en Centos tenés un script MUY copado CA.pl que te permite hacer casi todo, eso sí... tenés que tener tu openssl.cnf bien configurado para que el CA.pl tome todos los parámetros.

Si usaste OpenVPN la logica es la misma, generás tus certificados y deployás los certificados de tu dominio + el ca.crt en los browsers de tus usuarios.

Obviamente contemplar también que depende del browser/OS el almacén de certificados no se maneja igual (Windows/Linux)

https://jamielinux.com/docs/openssl-certificate-authority/
https://debian-administration.org/article/618/Certificate_Authority_CA_with_OpenSSL

Saludos
respondido por Mstaaravin (1,440 puntos) Ago 28
0
Aca usamos letsencrypt para los servidores internos. Lo resolvimos con un proxy inverso. El proxy puede quedar apagado y prenderse para la renovacion.

Si no podes comprar un certificado con wildcard tipo *.dominio.com y lo pones en todos los servers internos.

 

Saludos
respondido por luigibalzani (9,250 puntos) Ago 29
0

Buenos dias,

Les cuento como me fue y por donde voy:

En unos dias, vuelvo con las consultas.
Gracias por el aguante.

respondido por Postgresista (960 puntos) Sep 5
...