Intranet/VPN 站點的 SSL 配置

我們正在開發一個網站，該網站將在我們的 Intranet 內部使用，但也由一個將通過 VPN 訪問它的客戶端在外部使用。

就證書而言，最好的選擇是什麼？

我需要從證書頒發機構獲得一個，還是我們可以使用自簽名的？

最好的方法是自行簽名，因為它仍在開發中。

為什麼？

證書頒發機構可能會受到損害並形成更容易的目標。您的伺服器也可能受到威脅，但可能性較小。但這是另一回事。

我仍然應該這樣做的方式是創建一個公司 CA（如果您還沒有它），針對它簽署證書並將 CA 推送到您的域，以便它是受信任的，人們不會被“惹惱”不安全的連接”-錯誤。唯一的外部客戶端也可以將此 CA 添加到其受信任的 CA 列表中。

希望這會有所幫助。

引用自：https://serverfault.com/questions/699903