如何在内部网络上运行正确的HTTPS？

这个问题已经问过几次了，我将链接几个：


https://superuser.com/questions/791015/https-over-private-network
https://stackoverflow.com/questions/616055/https-certificate-for-internal-use
https://stackoverflow.com/questions/2676238/ssl-signed-certificates-for-internal-use
我可以购买供内部使用的签名有效证书吗？我正在提供我的研究报告，希望可以找出其中的哪些部分过时了并且哪些仍然很好。我正在寻找现代的答案。

问题很简单，但这就是实际情况。我有访问敏感信息的Web服务（从透视的角度来看：这对我们公司和我们的客户不利，但对任何一方都没有生命危险）。我想提供对这些系统的轻松访问，但是安全性显然很重要。 （其中一些服务是通过非浏览器客户端作为Web服务访问的。其中一些只是人类在现代浏览器中使用的网页。）

为此，我们将最重要的服务保持在可访问状态仅在内部。这样，攻击者a）不太可能偶然发现它们，并且b）克服了一个额外的障碍。

“深度安全”会建议我们也将内部流量加密为好。这使网络内部的人员更难于随便嗅探网络上的密码。我不确定现在其中哪一个甚至是可行的，因为我知道某些规则已更改。

自签名证书

多数情况下，这似乎是该问题的“最佳答案”。这可以抵抗偶然的嗅探问题，但是我必须告诉所有员工“大的讨厌的警告页面很好，只需单击它”。我一直在努力训练他们不要忽略该页面，并且大多数人都不理解“当您知道并期望该站点使用自签名证书时，该页面有时可以正常运行”的细微差别（他们倾向于停止听逗号:)）。

自签名证书，但在每个系统上都已安装并受信任

这可以修复令人讨厌的页面，但是我必须将其设置为在访问它的每台计算机上都是受信任的。这是可能的，但不希望如此。

此外，我也不是100％肯定内部地址不再可能如此。我的理解是，现代浏览器应该拒绝任何旨在证明解析为非公共IP地址或不完全合格的计算机的证书。

另外，安装系统根证书的过程在移动设备上是...基本上是不可能的。它需要扎根的Android手机，并且需要iOS设备相对较神秘的过程。

设置我自己的CA

安装和信任的证书基本上是相同的问题，但我只必须安装根证书，而不是我所站的每个系统都安装一个证书。基本上仍将所有移动设备拒之门外，包括喜欢在会议中使用的平板电脑经理。

我什至不相信这会行得通，因为IP将是内部的，而DNS将不会完全合格。

使用公共证书，但使用内部地址。

我们可以配置完全合格的地址（例如“ secret.private.example.com”）解析为内部地址（例如“ 192.168.0.13”）。然后，我们可以对那些公共DNS名称使用证书（甚至可能对“ * .private.example.com”使用通配符证书）。

这可能行不通，甚至可能不是一个好主意。浏览器可能会拒绝尝试解析为本地地址的证书。

如果它有效，则可能不是一个好主意。从我们的内部系统带到另一个网络的笔记本电脑（可能非常快，通过VPN断开连接）可能会尝试访问其他网络上本地IP地址上的秘密内容。只要HSTS生效，这就没什么大不了的，因为如果没有我们的私钥，它们将无法说服客户端接受伪造的站点，也无法强制降级到HTTP。但是，这似乎是不可取的，它打破了（可能是？）最近生效的“公共DNS中没有私有地址”的规则？

所以，所有这些都可以说...正确的答案是什么？ ？我可以“放弃”并公开公开私有服务，并相信加密和特定于应用程序的身份验证要求可以确保一切安全。确实，对于一些不太敏感的事情，这是一个很好的过程。但是我担心特定于应用程序的身份验证可能会出错，或者凭据以其他方式受到破坏（人们始终是最薄弱的环节），并且我希望如果有合理的话还会有另外的障碍。 />