过去,我一直能够将 SSL 证书的特殊性留给其他人,主要依赖于自签名证书。那一天已经结束了。
我需要加强并配置一个安全但非气隙(它可以到达,但没有任何东西可以到达)的服务器集群,该集群围绕 RHEL/CentOS 构建,并具有经过验证的 SSL 证书。任何机器上都没有 Web 服务器(nginx、apache 等),只有通过 SSL 的内部应用程序服务调用。
我凭经验证实该软件不接受自签名证书。
到目前为止,我发现的所有工具都需要公开服务器(我想是向 CA 签名机构确认其真实性),但根据设计,我们没有从外部世界进入受保护集群的路径。
如果有影响,我会尝试从 Zerossl.com 获取证书。但我真的不在乎它们来自哪里。
我最近的尝试是这样的:
acme.sh --issue -d dev-9-myserver.mydomain.com --standalone --debug
该工具的最终输出显示状态为待处理,重试 30 次后超时。
我们不可能是世界上唯一将 SSL 证书应用于不暴露于互联网的系统的人,所以我正在寻找一些方向。
有哪些工具可用于从 CA 获取隔离/气隙系统的证书?
先感谢您!
一种可能的方法是使用所谓的通配符证书。此类证书将在您域中的所有计算机上工作(但不适用于子域)。该证书应从机器颁发,可通过互联网(用于验证)或通过 CA 的 Web 界面访问。您可以使用此页面作为参考(详细信息取决于您的 CA)。
PS 根据评论,使用的命令可以是: