Install certificate in intranet application on Windows / Xampp: port 8080

Pessoal, beleza ?
Recebi um sistema legado de intranet em um windows server essencial que tem uma aplicação :

  • PHP
  • XAMMP/Apache

Que é acessada através de um IP NAT :

http://192.168.0.10:8080/com_prod/login.php e não tem dominio registrado.

Eu consigo colocar um certificado SSL Letś com esta caracteristas ?(A necessidade se deu porque o sistema irá ter um módulo de troca de dados financeiros.)

Instalar certificado em aplicação de intranet no windows /Xampp
470/5000
Guys, okay?
I received a legacy intranet system on an essential windows server that has an application:

  • PHP
  • XAMMP / Apache

Which is accessed through an IP NAT:

http://192.168.0.10:8080/com_prod/login.php and has no registered domain.

Can I put a Letś SSL certificate with this characteristic? (The need arose because the system will have a financial data exchange module.)

1 Like

Certificate Authorities are not allowed to issue certificates for private IP addresses. Let’s Encrypt only issues certs for domain names that are publicly registered (i.e. not .local or other nonexistent name).

To add encryption to your service you would need to purchase or use an existing domain / subdomain. The server would have to either have port 80 publicly exposed (for the .well-known/acme-challenge directory) or use a DNS provider with an API to use the DNS-01 challenge to prove control of the domain.

Then you can use a windows client such as Certify the Web to obtain certificates.

3 Likes

Oi @themakira,

Com quem é essa troca de dados?

Como @ski192man esclareceu, a Let’s Encrypt não pode emitir certificados para endereços IP privados, já que seu significado é diferente em cada rede, assim o significado do certificado seria ambíguo, que é inaceitável nesse contexto—porque um usuário legítimo do certificado seria capaz de fingir ser um servidor (com o mesmo endereço IP) em outra rede.

Mas, qual máquina/ambiente de software vai consumir esse certificado? É dentro da mesma rede local? É administrado por você ou um colega seu na mesma organização?

Se pretende processar dados financeiros ou outros dados pessoais, vale a pena também verificar que as outras aplicações (e o próprio sistema operacional) recebem atualizações e têm apoio atual pelos seus desenvolvidores, para evitar vulnerabilidades conhecidas que não possam ser corrigidas.

2 Likes

Thank you ski192man!

So I can’t even place a self-signed certificate? Or submit one

1 Like

Beleza ,Schoen ?

A troca se dá por um BD Oracle via interface de um formulário PHP para outro BD de oracle em outra empresa via VPN.

O certificado será “consumido” por um outro servidor windows também, porém como somos fornecedores, estaremos sobre a regra do LGPDP brevemente e teremos que compravar que a troca de dados está sendo feita de forma segura.

Como o sistema é legado e está sobre muitas regras de negócios até toda reformulação do mesmo, demorá um certo tempo , por isso, a necessidade de ter um certificado. Você recomendaria algum outro tipo de certificado SSL para este cenário ?

You can use a self signed certificate, but it will only be trusted on devices that you manually import it into the trust store. If a new device comes onto the network that doesn’t have the certificate manually imported it will show a certificate warning and you will have no assurance the devices isn’t being MITM’d

3 Likes

You can also use a dynamic dns provider (as duckdns.org, nsupdate.info, freedns.afraid.org) and get your certificate issued with the third-level domain they provide.

Since your server is not accessible from the internet, use the DNS-01 verification method.

1 Like

It was agreed that it will be necessary to follow good practices for generating digital certificates.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.