SSL certfikát pro provoz PLM

[BartTK]

Poprosil bych vážené kolegy a odborníky o radu z oblasti zabezpečení HTTP provozu SSL certifikátem. PS: V oblasti certifikátů a certifikačním autorit jsem téměř nepolíben. Situace: ERP systém komunikuje s PLM terminály v rámci lokální sítě skrze Chrome umístěný na PLM terminálech. ERP vyžaduje provoz po HTTPS. Subdoména pro následný provoz směrem ze sítě bude api.firma.cz. Jakým způsobem vytvořit SSL certifikát (.cer a .pfx) pro nahrání do ERP? Ještě doplním, že ERP běží na SQL Serveru a OS Windows Server 2019. Děkuji za pomoc a radu. 

[Reklama]

[lojza007]

Pokud se jedná o rize interní záležitost, tak stačí přes openssl vygenerovat certifikát i s klíčem a na terminály distribuovat kořenový certifikát té vlastní certifikační autority, aby bylo spojení důvěryhodné. Postup by mělo jít celkem snadno vygooglovat.
Pokud tam nejde nahrát vlastní certifikát, tak přes nějaký ACME nástroj vygenerovat Let's Encrypt certifikát na tom Windows serveru.

[Filip Jirsák]

Trochu se v tom ztrácím. Máte PLM terminály, na kterých běží prohlížeč Chrome, který se připojuje k ERP jako k běžné webové aplikaci přes HTTPS (resp. teď tam asi máte HTTP a potřebujete přejít na HTTPS). Je to tak?

Pak je nejjednodušší před ten ERP systém dát reverzní proxy, která zajistí HTTPS a provoz bude dál směrovat na to ERP (nešifrovaným HTTP). Takže komunikace z Chrome k reverzní proxy bude šifrovaná, Chrome bude spokojen, a na ERP nemusíte vůbec sahat.

Programů, které budou fungovat jako reverzní proxy, je na výběr více. Osobně doporučuju Caddy server – HTTPS tam máte už ve výchozím nastavení bez jakékoli konfigurace (pokud máte veřejnou IP adresu), bude automazticky vydávat certifikáty od Let's Encrypt. Přesměrování provozu zařídí asi tak jeden řádek konfigurace, nebo dokonce jen parametry při spuštění: Caddy reverse proxy.

Pokud tam nemáte veřejnou IP adresu, bude potřeba trochu konfigurace, aby měl Let's Encrypt možnost ověřit doménu – dá se to udělat dvěma způsoby, buď dokážete někam ven vytáhnout server pro příchozí komunikaci na portu 80, a přesměrovat ji na Caddy, nebo se to dá řešit ověřováním přes DNS.