Jakiej nazwy hosta FQDN należy użyć w żądaniu podpisania certyfikatu SSL podczas korzystania z rekordu CNAME?

10

Mamy poddomenę ( https://portal.company.com ), która jest aliasem innej nazwy hosta (zdefiniowanej w rekordzie CNAME).

Ta dynamiczna nazwa hosta DNS ( https://portal.dlinkddns.com ) odnosi się do publicznego (dynamicznego) adresu IP naszego biura. W biurze router jest skonfigurowany do przekazywania portu 443 do serwera z portalem internetowym (Spiceworks), do którego pracownicy mogą uzyskać dostęp z domu. Nawet jeśli zmieni się publiczny adres IP biura, subdomena nadal będzie kierować pracowników do portalu internetowego. Wszystko działa świetnie - oprócz (oczekiwanego) personelu błędu certyfikatu SSL widzą, kiedy po raz pierwszy łączą się z witryną.

Właśnie kupiłem certyfikat SSL i jestem w trakcie wypełniania żądania podpisania certyfikatu na serwerze.

Co prowadzi mnie do mojego pytania ...

Po wypełnieniu prośby o podpisanie certyfikatu w polu „ Nazwa zwyczajowa (np. Nazwa FQDN serwera lub nazwa użytkownika) ”, co powinienem wpisać?

Czy powinienem wpisać nazwę kanoniczną ( https://portal.dlinkddns.com ) lub alias ( https://portal.company.com )? Nazwa FQDN samego serwera to „servername.companyname.local” - więc nie mogę tego użyć.

Wszelkie sugestie i pomysły będą mile widziane!

Uprawnienia Austin „Danger”
źródło

Odpowiedzi:

12

Używasz nazwy, z której można uzyskać dostęp do usługi. Jeśli więc klienci portalu odwiedzą stronę https://portal.dlinkddns.com , skorzystaj z portalu.dlinkddns.com. A jeśli odwiedzą https://portal.company.com , skorzystaj z portalu.company.com.

Jeśli Twoi klienci uzyskają dostęp do obu, uzyskaj certyfikat z jedną z nazw jako DN, a drugą jako podmiotAltName, dzięki czemu będzie można go używać w obu przypadkach.

Jeśli czytam poprawnie między wierszami twojego pytania, wszystko, co będzie dostępne w przeglądarce, to https://portal.company.com , więc w twoim przypadku: zdobądź certyfikat na tę nazwę.

Dennis Kaarsemaker
źródło
Użyłem „portal.company.com” i do tej pory wszystko wygląda dobrze. Proces CSR został zakończony, a GoDaddy wydało mi mój certyfikat SSL. Zaktualizuję szczegóły po zaimportowaniu certyfikatu do Spiceworks.
Austin 'Danger' Powers
Zaimportowałem certyfikat SSL i wszystko działa świetnie. Brak ostrzeżeń przeglądarki. Na zdrowie
Austin „Danger” Powers
7

Jeśli masz domenę company.com (na przykład) i chcesz, aby nazwa zwykła certyfikatu „po prostu działała”, zastanów się nad użyciem nazwy zwykłej opartej na symbolach wieloznacznych w następujący sposób: *.company.com

Następnie certyfikat SSL powinien działać dla https://company.com i https://www.company.com oraz dla wszystkich poddomen, które zdecydujesz się użyć.

Uwaga: Użyłem tego tylko w certyfikatach z podpisem własnym, utworzonych za pomocą komendy openssl, ale może to również działać w przypadku „prawdziwych” certyfikatów; Nie widzę powodu, dla którego by tego nie zrobili. (Ale słyszałem, że przy zakupie certyfikaty wieloznaczne mogą być droższe niż certyfikaty bez symboli wieloznacznych).

Szkoda, że ​​polecenie openssl nie podaje tych informacji jako podpowiedzi, gdy prosi o nazwę pospolitą. Podczas samodzielnego podpisywania moich certyfikatów SSL dla serwerów testowych rutynowo używam nazwy zwykłej w formacie „* .firma.com”.

użytkownik192673
źródło