
<div dir="ltr">Hi Viktor<div><br></div><div>Thanks for this confirmation. I think the correct approach would be to use our internal CA.</div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 7, 2017 at 7:16 PM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:openssl-users@dukhovni.org" target="_blank">openssl-users@dukhovni.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>

> On Mar 7, 2017, at 2:21 AM, Traiano Welcome <<a href="mailto:traiano@gmail.com">traiano@gmail.com</a>> wrote:<br>

><br>

> I have a private DNS zone hosted on AWS route 53, only resolvable from<br>

> within some specific VPCs.<br>

> It appears some applications require an SSL certificate associated with<br>

> the private DNS zone, and this SSL certificate should come from a trusted,<br>

> external certificate provider (cannot be self-signed).<br>

<br>

</span>The "trusted external" CA that issues the not-self-signed end-entity cert<br>

can almost certainly (with appropriate configuration of the client app)<br>

be a private CA that you create and provide to the SSL clients.<br>

<br>

In which case the question below is moot.<br>

<span class=""><br>

> My questions are:<br>

><br>

> a) Is this a known use-case? i.e private dns zones requiring non-self-signed<br>

> certificates?<br>

<br>

</span>I usually use private CA certs for use on non-public networks.<br>

<span class=""><br>

> b) Since the DNS zone is not resolvable on the public internet,<br>

> how would the certificate validation process occur for applications<br>

> communicating with systems in the private zone ?<br>

<br>

</span>There is some prior history of public CAs issuing certificates for<br>

private namespaces, but IIRC this practice is discouraged and going<br>

away.<br>

<span class=""><br>

> c) Do SSL certificate providers issue trusted SSL certificates  for private DNS zones?<br>

<br>

</span>It is not really possible for them to know that the names in question<br>

are used in another "private" deployment elsewhere.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

        Viktor.<br>

<br>

--<br>

openssl-users mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>

</font></span></blockquote></div><br></div></div>