Яке ім'я хоста FQDN використовувати для запиту підпису сертифіката SSL - під час використання запису CNAME?


10

У нас є субдомен ( https://portal.company.com ), який є псевдонімом для іншого імені хоста (визначеного в записі CNAME).

Це динамічне ім'я хоста DNS ( https://portal.dlinkddns.com ) надає загальнодоступну (динамічну) IP-адресу нашого офісу. В офісі маршрутизатор налаштований пересилати порт 443 на сервер, на якому працює веб-портал (Spiceworks), до якого персонал може отримати доступ з дому. Навіть якщо публічна IP-адреса офісу зміниться, субдомен все одно направить співробітників на веб-портал. Все працює чудово - окрім (очікуваної) помилки службовців сертифікатів SSL, коли вони вперше підключаються до сайту.

Щойно я придбав сертифікат SSL, і зараз я перебуваю в процесі виконання запиту на підписання сертифіката на сервері.

Що призводить мене до мого питання ...

Коли ви заповнюєте запит на підписання сертифікату, " Загальне ім'я (наприклад, сервер FQDN або ВАШЕ ім'я) ", що мені слід ввести?

Чи слід вводити канонічне ім’я ( https://portal.dlinkddns.com ) або псевдонім ( https://portal.company.com )? FQDN самого сервера - "servername.companyname.local" - тому я не можу цим користуватися.

Будь-які пропозиції чи ідеї були б вдячні!

Відповіді:


12

Ви використовуєте ім'я, до якого доступ до служби. Тож якщо клієнти вашого порталу відвідують https://portal.dlinkddns.com , використовуйте portal.dlinkddns.com. І якщо вони відвідують https://portal.company.com , використовуйте portal.company.com.

Якщо ваші клієнти отримають доступ до обох, отримайте сертифікат з одним із імен як DN, а інший як subjectAltName, щоб його можна було використовувати як для обох.

Якщо я читаю правильно між рядками вашого запитання, все, до якого можна отримати доступ у веб-переглядачі, є https://portal.company.com , тож у вашому випадку: отримайте сертифікат на це ім’я.


Я використовував "portal.company.com", і досі все виглядає добре. Процес КСВ завершено, і GoDaddy видав мені свій сертифікат SSL. Я оновлю деталі після того, як імпортую сертифікат у Spiceworks.
Остін "Небезпека" Повноваження

Я імпортував сервер SSL і все чудово працює. Зараз немає попереджень браузера. Ура
Остін 'Небезпека' Повноваження

7

Якщо у вас є домен company.com (наприклад), і ви хочете, щоб загальне ім'я сертифіката "просто працювало", тоді подумайте про використання такого загального імені на основі підстановки таким чином: *.company.com

Тоді сертифікат SSL повинен працювати для https://company.com та https://www.company.com та будь-яких субдоменів, які ви вирішите використовувати.

Примітка: я використовував це лише у самопідписаних сертифікатах, створених за допомогою команди openssl, але це може також працювати для "реальних" сертифікатів; Я не бачу причини, чому б вони цього не зробили. (Але я чув, що сертифікати підкреслених символів можуть бути дорожчими, ніж сертифікати, що не мають wildcard).

Прикро, що команда openssl не дає цю інформацію як підказку, коли вона запитує загальну назву. Під час самостійного підписання своїх SSL-сертифікатів для тестових серверів я регулярно використовую загальне ім’я у форматі "* .company.com".

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.