Security

何時在 RDWeb 中使用自簽名證書?

  • March 14, 2013

我想確保使用者連接盡可能安全。我們的 RDWeb 伺服器有一個 .local 名稱(對於這個問題,它將被稱為 rdweb.contoso.local)和一個公共名稱:rdweb.contoso.com

我們為 RDWeb 網站 (rdweb.contoso.com) 提供了來自 godaddy 的高級 ssl。當使用者點擊執行 remoteapp A 時,它會連接到 rdweb 伺服器。到 rdweb 伺服器的連接框顯示“…正在連接到 rdweb.contoso.local”,然後要求使用者登錄到 rdweb.contosto.local。成功登錄後,一個視窗會詢問使用者是否要繼續連接 rdweb.contoso.local,因為無法對其進行驗證。如果您點擊查看證書,您可以看到該連接正在使用我在 IIS 中建構的自簽名證書。這安全嗎?RDWeb 使用的遠端應用程序是一個 HR/工資單應用程序,其中包含敏感的員工資訊。

那麼,RDWeb 網站到 rdweb 伺服器的連接是否可以使用自簽名證書?我們為 rdweb 網站本身 (rdweb.contoso.com) 提供了高級 ssl

如果該自簽名證書在這種情況下不安全,那麼我怎樣才能使其安全?從 godaddy 購買 .local 的 SSL?

我們使用這個過程已經有一段時間了,我只是碰巧想到了連接的安全性。我知道它是加密的,我相信證書,因為我知道它來自伺服器。只是想對它有一些想法。

謝謝大家。

作業系統:伺服器 2008 r2 Windows 7 和 2008 r2 活動目錄環境 RDWeb 使用者從外部位置登錄到我們本地網路的 RDWeb

這裡的解決方案是讓每個人都連接到 rdweb.contoso.com,並且永遠不要使用 rdweb.contoso.local 地址。在大多數情況下,這將需要拆分 DNS 或 NAT 髮夾/環回才能正常工作。

通過使用公共名稱,您的 godaddy SSL 證書將正常工作。沒有信譽良好的提供商會為您提供任何 *.local 地址的簽名 ssl 證書,因為無法證明所有權(事實上,您不擁有它,但只要它僅在您的 LAN 上,它就不會破壞其他任何東西如果其他人在他們的區域網路上使用它)。

使用自簽名證書是不好的 - 特別是因為它訓練使用者完全忽略有關證書無效的警告。這使得欺騙某人連接到不同的服務或劫持連接變得更加容易。

假設您的 contoso.com DNS 在 godaddy,contoso.local DNS 在活動目錄中,您可以將 contoso.com 添加到您的 AD DNS 伺服器,其中包含它在 godaddy 的所有記錄。但是當你訪問 rdweb 時,不要輸入公共 IP 地址,而是輸入私有地址。

或者只是讓您的防火牆/NAT 設備允許來自 LAN 的連接通過公共地址進行連接。這通常稱為 NAT 髮夾、環回或其他一些類似名稱。

引用自:https://serverfault.com/questions/487830