Zaprvé, autor dotazu jasně napsal, že se jedná o interní síť
Interní síť ovšem automaticky neznamená síť, kde má správce sítě plně pod kontrolou veškerá zařízení v síti.
z dotazu je myslím patrné, jak to myslel
Ano, je to patrné. Explicitně psal o Let's Encrypt, tedy o všeobecně uznávané certifikační autoritě.
resp. to vypadá, že o možnosti vlastní CA a distribuci CA ani nevěděl
To je jen vaše fabulace.
NASka většinou také ne (většinou slouží jen jako SMB storage, málokdo dává přístup uživatelům přes web)
Aha, a proto má třeba Synology spoustu webových aplikací běžících na jejich NAS (třeba prohlížeč fotek) a má k otmu dokonce mobilní aplikace.
protože já napsal, jak to mám já ve firemní síti, kterou spravuji.
Bohužel zapomínáte na to, že vaše síť není jediná, a existují sítě, kde to funguje jinak.
Vy jste reagoval na to, jak to mám já nastaveno a jak to provozuji.
Ohledně vaší sítě jsem reagoval na jediné tvrzení, a to že vy osobně své certifikační autoritě věříte. Pouze jsem k tomu podotkl, že uživatelé ve vaší síti mohou důvěryhodnost vaší autority vnímat jinak.
Pokud narážíte na víceúrovňový level support, tak vlastní CA většinou řeší ty poslední levely, který právě přístup mají skoro ke všemu.
Ne, narážím na to, že uznávané certifikační autority musejí projít auditem a jsou pod neustálou veřejnou kontrolou, zatímco interní CA taky může vypadat tak, že někdo slavně zvítězil nad OpenSSL a s vydatnou pomocí Google splácal nějaké shell skripty. Nemusí to být váš případ, ale já nemám jak to poznat, když mi budete certifikát své CA vnucovat do systému.
No nic, to je jedno, vy upřednostňujete volnost, aby si každý ve vaší síti dělal, co chtěl.
Ano. Ať si každý dělá, co uzná za vhodné, pokud tím neomezuje ostatní.
Já upřednostňuji plnou kontrolu nad vším, co ve firmě běží a co se do ní v rámci interní sítě připojuje (navíc bez AD s GPO by onomu uživateli stejně nic nefungovalo, resp. s PC v AD se uživatel přihlásí pod sebou a vše mu jede, vše má namapované, povytvářené zástupce, funguje SSO atd.). BYOD povoluji, ale jen v rámci VPN a splněných policy (=musí si uživatel nainstalovat náš konfigurační balíček, který mu přednastaví VPN, nahraje CA a další věci.).
Ok, vaše věc.
Všimněte si ale, že tazatel chce důvěryhodné certifikáty pro dvě zařízení. Moje doporučení je nechat si je vystavit od Let's Encrypt. Vy nabízíte možnost uzavřené interní sítě, ve které je provozována vlastní certifikační autorita a AD s GPO která tlačí na Windows stanice certifikáty té certifikační autority. Do mobilu si pak uživatel taky musí nahrát kořenový certifikát. A tohle celé by měl někdo dělat kvůli dvěma serverovým certifikátům…
Navíc si živě představuju, jak ta vaše certifikační autorita splňuje všechny požadavky současných prohlížečů na důvěryhodné autority – vydává certifikáty se jmény v extenzích a ne v CN, podepisuje SHA-2, publikuje do Certificate transparency…