Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)? Добрый день.
Необходимо в локальной сети из компьютеров на базе Windows 10 Pro, объединенных в рабочую группу (не в домене) и не светящиеся в интернет, настроить IIS сертификаты на одном из них таким образом, чтоб обращение с других компьютеров через браузер, последние подтверждали подлинность сертификата и не выводили предупреждение об untrusted сайте.Self-signed сертификаты не хотелось бы, так как копировать из на все оставшиеся компьютеры в сети не вариант (их может быть много, добавляться новые машины и т.п)
Идеально было бы при установки сервиса в IIS установщик запросит (выдаст, сгенерит? ) новый сертификат (если такого еще не установлено в IIS), который будет trusted для остальных машин в локальной сети без копирования это сертификата на все машины.
В сети домена нет, windows server тоже нет, только все Windows 10 Pro.
Моих знаний не хватает, что б правильно понять, как правильно реализовать такую систему. Хотелось бы просто получить общую информацию что нужно сделать\установть, дальше смогу разобраться сам.
Из найденной информации на данный момент мне показалось, что необходимо развернуть в локальной сети PKI сервис и через него запрашивать (API) сертификаты (или хотя б вручную сгенерировать и передать на сервер). Если это так, то:
- должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?
- если его надо сначала будет скопировать на все клиентские машины, то это тоже не вариант, так как он не отличается от self-signed с последующим копированием на все машины? Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?
- должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?
- будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?
- PKI должен запускаться на WINDOWS 10 (докер, VM боюсь не вариант)
Или существуют другие решения данной задачи.
Спасибо за советы
Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)? Добрый день.
Необходимо в локальной сети из компьютеров на базе Windows 10 Pro, объединенных в рабочую группу (не в домене) и не светящиеся в интернет, настроить IIS сертификаты на одном из них таким образом, чтоб обращение с других компьютеров через браузер, последние подтверждали подлинность сертификата и не выводили предупреждение об untrusted сайте.Self-signed сертификаты не хотелось бы, так как копировать из на все оставшиеся компьютеры в сети не вариант (их может быть много, добавляться новые машины и т.п)
Идеально было бы при установки сервиса в IIS установщик запросит (выдаст, сгенерит? ) новый сертификат (если такого еще не установлено в IIS), который будет trusted для остальных машин в локальной сети без копирования это сертификата на все машины.
В сети домена нет, windows server тоже нет, только все Windows 10 Pro.
Моих знаний не хватает, что б правильно понять, как правильно реализовать такую систему. Хотелось бы просто получить общую информацию что нужно сделать\установть, дальше смогу разобраться сам.
Из найденной информации на данный момент мне показалось, что необходимо развернуть в локальной сети PKI сервис и через него запрашивать (API) сертификаты (или хотя б вручную сгенерировать и передать на сервер). Если это так, то:
- должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?
- если его надо сначала будет скопировать на все клиентские машины, то это тоже не вариант, так как он не отличается от self-signed с последующим копированием на все машины? Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?
- должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?
- будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?
- PKI должен запускаться на WINDOWS 10 (докер, VM боюсь не вариант)
Или существуют другие решения данной задачи.
Спасибо за советы
Необходимо в локальной сети из компьютеров на базе Windows 10 Pro, объединенных в рабочую группу (не в домене) и не светящиеся в интернет, настроить IIS сертификаты на одном из них таким образом, чтоб обращение с других компьютеров через браузер, последние подтверждали подлинность сертификата и не выводили предупреждение об untrusted сайте.Self-signed сертификаты не хотелось бы, так как копировать из на все оставшиеся компьютеры в сети не вариант (их может быть много, добавляться новые машины и т.п)
Идеально было бы при установки сервиса в IIS установщик запросит (выдаст, сгенерит? ) новый сертификат (если такого еще не установлено в IIS), который будет trusted для остальных машин в локальной сети без копирования это сертификата на все машины.
В сети домена нет, windows server тоже нет, только все Windows 10 Pro.
Моих знаний не хватает, что б правильно понять, как правильно реализовать такую систему. Хотелось бы просто получить общую информацию что нужно сделать\установть, дальше смогу разобраться сам.
Из найденной информации на данный момент мне показалось, что необходимо развернуть в локальной сети PKI сервис и через него запрашивать (API) сертификаты (или хотя б вручную сгенерировать и передать на сервер). Если это так, то:
- должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?
- если его надо сначала будет скопировать на все клиентские машины, то это тоже не вариант, так как он не отличается от self-signed с последующим копированием на все машины? Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?
- должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?
- будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?
- PKI должен запускаться на WINDOWS 10 (докер, VM боюсь не вариант)
Или существуют другие решения данной задачи.
Спасибо за советы
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Для организации удостоверяющего центра (PKI) в вашей локальной сети для выдачи сертификатов в IIS, вам действительно потребуется установить PKI сервер. Этот сервер будет использоваться для генерации и подписи сертификатов для ваших внутренних серверов.
Ответы на ваши вопросы:
Да, PKI сервер должен иметь свой собственный сертификат, который будет использоваться для подписи сертификатов, которые он выдаст другим серверам.
Вы можете использовать любой сертификат, включая Let's Encrypt, для PKI сервера. Этот сертификат потребуется установить на все клиентские машины в вашей сети.
Да, PKI сервер должен быть все время запущен, чтобы клиентские машины могли проверить валидность сертификатов.
Выданный сертификат будет выдан на имя вашего сервера в интранет (например: SERVER001 или SERVER001.local).
PKI должен быть запущен на Windows 10.
Другие решения для данной задачи могут быть использование сторонних сертификационных органов, которые могут выдать вам сертификаты для вашего внутреннего сервера. Однако, учитывая что у вас нет доступа к серверу Windows Server, установка PKI сервера на Windows 10 может быть наилучшим вариантом.
Надеюсь, эта информация поможет вам правильно настроить систему управления сертификатами в вашей локальной сети. Если у вас возникнут дополнительные вопросы, не стесняйтесь обращаться.