Let's Encrypt для внутренних сайтов

[stantum]

Если это внутренний сайт, то зачем морочиться с letsencrypt вместо выпуска собственного корневого сертификата - для организации?

[valvalva]

Не нужно устанавливать корневой сертификат предприятия на домашние компьютеры пользователей, подключающихся через корпоративный ВПН

[Dok_DD]

я бы сказал: "не нужно пускать домашние компьютеры пользователя в корпоративную сеть. и наоборот".

[valvalva]

У всех разные условия, у нас 50К пользователей, многие работают/учатся удаленно, плюс корпоративный wifi, удобнее использовать LE. Про безопасность, важные сети не доступны ни через VPN ни через wifi

[dimsoft]

Если сайт внутрений, то у него и имя .local - как тогда быть ?

[valvalva]

В этом случае LE использовать не получится, поскольку у него нет возможности валидировать владельца зоны .local, такой просто нет в интернете, НО, например, можно развернуть (и на курсах так и делаем) вот это: https://www.freeipa.org/page/V4/ACME

[darkside83]

Внутренний сайт может иметь любое доменное имя, не обязательно на .local оно должно заканчиваться

[BlackSCORPION]

Внутренние сайты рекомендуют использовать домен "home.arpa".

Есть такая штука https://smallstep.com/docs/step-ca, умеет в ACME (протокол автовыпуска сертификатов, как Let's Encrypt). Использую вместе с Caddy для https для докер контейнеров на домашнем сервере, с self-signed CA добавленым в трастстор на девайсах

[c46fd3da]

Давно существует https://auth.acme-dns.io и бот в телеге @acmednsbot как раз для таких случаев.

Зону можно держать на любом публичном DNS сервере, через CNAME все настраивается буквально за секунды.

[ki11j0y]

Есть acme.sh, есть dns api, работает великолепно, подключил настроил автопродление, профит, есть некоторое но, нужен хостер с поддержкой dns acme.