Certificados (autofirmados) en la intranet

Postgresista

Buenas tardes,

En la empresa tenemos varios sitios internos a los cuales tengo que implementarles HTTPS

Por lo que lei, necesito montar un servidor que pueda generar los certificados (Centos 7 o Windows 2012) y actuar de entidad de validacion.

La limitante a usar letsencrypt seria que estos servidores son internos, sin acceso a internet. (Tengo que crear mi propio letsencrypt ;P )

¿me podrian orientar?

Desde ya, muchas gracias a todso.

deblike

Cumpliendo algunos requisitos, podés usar LE en una intranet:
https://blog.thesparktree.com/generating-intranet-and-private-network-ssl



Igual, podés usar certificados autofirmados para apache, por ejemplo:
https://www.nanotutoriales.com/como-crear-un-certificado-ssl-de-firma-propia-con-openssl-y-apache-http-server



No es necesario tener mayor infra.



Saludos!

godlike

Tenés que hacer certificados autofirmados o tenés que hacer una CA? Con certificados autofirmados, todos los browsers te van a meter alto warning cuando accedan a un sitio con HTTPS (o dependiendo de la versión del navegador, algunos se van a negar cargar la página).

Si hacés una CA y después instalás el certificado de esa CA en los clientes, te va a andar todo joya.

Mstaaravin

Tenés que crear tu propia CA y deployar el certificado de esa CA a todos los browsers/equipos que vayan a consumir SSL de tus servers (se puede hacer con una GPO si tenés un AD, google es tu amigo)

Como alternativa podés generarte un certificado y usar los de http://www.cacert.org/

Tanto en Debian como en Centos tenés un script MUY copado CA.pl que te permite hacer casi todo, eso sí... tenés que tener tu openssl.cnf bien configurado para que el CA.pl tome todos los parámetros.

Si usaste OpenVPN la logica es la misma, generás tus certificados y deployás los certificados de tu dominio + el ca.crt en los browsers de tus usuarios.

Obviamente contemplar también que depende del browser/OS el almacén de certificados no se maneja igual (Windows/Linux)

https://jamielinux.com/docs/openssl-certificate-authority/
https://debian-administration.org/article/618/Certificate_Authority_CA_with_OpenSSL

Saludos

luigibalzani

Aca usamos letsencrypt para los servidores internos. Lo resolvimos con un proxy inverso. El proxy puede quedar apagado y prenderse para la renovacion.

Si no podes comprar un certificado con wildcard tipo *.dominio.com y lo pones en todos los servers internos.



Saludos

Postgresista

Buenos dias,

Les cuento como me fue y por donde voy:

• No me salio, no tengo cloudfare:
  https://blog.thesparktree.com/generating-intranet-and-private-network-ssl
   
• Joya, tal cual lo esperado, las alertas y demas, alcanzo para las pruebas:
  https://www.nanotutoriales.com/como-crear-un-certificado-ssl-de-firma-propia-con-openssl-y-apache-http-server
   
• Estoy luchando probando con, a este le tengo fe y algunas dudas:
  https://jamielinux.com/docs/openssl-certificate-authority/
   

En unos dias, vuelvo con las consultas.
Gracias por el aguante.

Postgresista

Buenas tardes a todos,
Despues de unas breves vacaciones, retome este tema y lo logre sacar adelante.

Una vez que me dieron la pauta delo que buscaba, sali a googlear un poco mas y encontre este tutoria, paso a paso, clarisimo y en castellano ;P

EL link: http://cobos.pe/linux/autoridad-certificadora-ca-con-openssl/

Desde ya, muchas gracias a todos por su tiempo y esfuerzo!