3.886 messaggi dal 28 gennaio 2003
Siamo in un bell'inpiccio!
Abbiamo un server Esri e per vedere le mappe è stato creato un certificato autofirmato.
Ma la visualizzazione nei browser è penosa.
Specialmente quando una pagina aspx ospita in un iframe che richiama una mappa in https

Comunque, vi ringrazio ancora per le risposte.
Ciao.

Pietro
11.381 messaggi dal 09 febbraio 2002
Contributi
Ciao,


Ma non è possibile comprare un certificato e installarlo nel server senza che questo sia visibile fuori?

Sì, puoi comprare un certificato wildcard per la tua azienda, tipo *.nomeazienda.com che poi potrai utilizzare sia per il sito pubblico www.nomeazienda.com che per tutte le applicazioni che renderai disponibili su domini di terzo livello, tipo esri.nomeazienda.com. Fai in modo che nel DNS, il nome esri.nomeazienda.com si risolva con l'indirizzo di rete locale del server.

Una volta ottenuto il certificato, puoi seguire questa guida. Ogni certification authority ha delle guide del genere, quindi segui quella loro.
https://knowledge.digicert.com/solution/SO20188.html

ciao,
Moreno

Enjoy learning and just keep making
316 messaggi dal 05 novembre 2012
Ciao Moreno,

conosco i certificati wildcard e li ho utilizzati (mai in un intranet privata) sostanzialmente per comodità nella gestione e per un fattore puramente economico...

Quello che mi sfugge è come faccia a funzionare in questo contesto dove i domini di terzo livello non sono pubblici...basta la configurazione interna del dns ed il fatto che solamente il dominio principale sia pubblico? In qualche modo non va in conflitto con quanto riportato qui?

A questo punto, anche let's encrypt offre certificati wildcard, il fatto di optare per una soluzione a pagamento è dettato solo da un fattore di semplicità nella gestione?

Grazie e Buona serata

Alessio
11.381 messaggi dal 09 febbraio 2002
Contributi

basta la configurazione interna del dns

Se ha un DNS interno va bene, altrimenti si può anche mettere il record A nel DNS pubblico. Esempio:
esri.nomeazienda.com A 192.168.1.1



In qualche modo non va in conflitto con quanto riportato qui?

Perché? Il documento dice:

Subject Alternative Name (SAN) extension or Subject Common Name field containing a Reserved IP Address or Internal Server Name

In questo caso il nome da inserire nel certificato non è né un indirizzo IP di rete privata (es. 192.168.1.1) né un internal server name (es. webapp.local). Il nome sarà *.nomeazienda.com, che è valido, e ovviamente Pietro dovrà dimostrare alla certification authority che quel dominio appartiene alla sua azienda. Se nomeazienda.com è intestato all'azienda stessa e ha la gestione della zona del DNS credo che non ci saranno problemi. Può anche provare a chiedere un certificato non wildcard per proteggere quell'unica applicazione. Non credo che facciano storie perché il nome host si risolve con un indirizzo privato, ma meglio chiedere prima.


A questo punto, anche let's encrypt offre certificati wildcard, il fatto di optare per una soluzione a pagamento è dettato solo da un fattore di semplicità nella gestione?

Il certificato di Let's Encrypt scade ogni 3 mesi e dovrà essere reinstallato manualmente, a meno che non riesca a mettere in piedi la verifica dns-01 (bisogna scriptare il dns, mi pare difficile). Credo sia più abbordabile comprare un certificato che scade tra 2 anni per ridurre al minimo gli interventi manuali.

ciao,
Moreno
Modificato da BrightSoul il 28 febbraio 2019 00:40 -

Enjoy learning and just keep making
316 messaggi dal 05 novembre 2012
Ciao Moreno,

tutto chiaro...grazie per le info

Ancora sveglio ed al pc a quest'ora...che vita eh?

Buonanotte

Alessio
3.886 messaggi dal 28 gennaio 2003
for i = 1 to 10e9
grazie!
next

Pietro
3.886 messaggi dal 28 gennaio 2003
Ciao.
Un collega, che non è sistemista, ha trovato questa soluzione:

è riuscito a generare un certificato di dominio tramite uno script su Powershell ISE. Ha esportato il certificato in formato PKCS 7 e lo ho importato nella sua lista dei certificati attendibili sul suo computer.

Ora il server risulta attendibile da tutti i principali browser tranne Firefox che ha bisogno di attivare un eccezione.

La soluzione potrebbe essere quella di fare una GPO che installi il certificato su tutti i client dei dipendenti.

CONFERMO che funziona con IE11, Edge, Opera e Chrome. Purtroppo no con Firefox

Pietro
316 messaggi dal 05 novembre 2012
Ciao Pietro,

è riuscito a generare un certificato di dominio tramite uno script su Powershell ISE. Ha esportato il certificato in formato PKCS 7 e lo ho importato nella sua lista dei certificati attendibili sul suo computer.

Di spendere soldi proprio non se ne parla eh :) :) :)
E' una soluzione meno sicura rispetto a quella proposta da Moreno (certificato wildcard) ma in una intranet senza accesso al web con un po di cautela potrebbe andare...Sentiamo anche il parare di Moreno

Nel frattempo, rimanendo sulla soluzione di certificato self signed, potete dare un occhio a questo...crei prima il certificato CA (per questo fai il trust sui pc della intranet) e poi il certificato per il sito/i (per questo ed eventualmente per i futuri non occorre fare il trust)
E' una soluzione simile a quello che ti ho indicato nei primi post...

Per il problema con Firefox provate a guardare qui

/Ciao
Modificato da scioCoder il 14 marzo 2019 13:05 -

Alessio

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.