Que nome de host FQDN deve ser usado para solicitação de assinatura de certificado SSL - ao usar um registro CNAME?

10

Temos um subdomínio ( link

Este nome de host DNS dinâmico ( link ) resolve o endereço IP público (dinâmico) de nosso escritório. No escritório, o roteador é configurado para encaminhar a porta 443 para um servidor que esteja executando um portal da web (Spiceworks) que a equipe possa acessar em casa. Mesmo que o endereço IP público do escritório seja alterado, o subdomínio ainda direcionará a equipe para o portal da web. Tudo funciona muito bem - além da equipe de erros de certificado SSL (esperada) ver quando eles se conectam ao site pela primeira vez.

Acabei de comprar um certificado SSL e estou agora no processo de concluir uma solicitação de assinatura de certificado no servidor.

O que me leva à minha pergunta ...

Ao preencher a solicitação de assinatura do certificado, para " Nome comum (por exemplo, FQDN do servidor ou seu nome) ", o que devo inserir?

Devo inserir o nome canônico ( link ) ou o alias ( link )? O FQDN do próprio servidor é "servername.companyname.local" - por isso não posso usar isso.

Qualquer sugestão ou ideia seria muito apreciada!

    
por Austin ''Danger'' Powers 29.03.2013 / 22:51

2 respostas

12

Você usa o nome ao qual o serviço é acessado. Portanto, se seus clientes do portal visitarem o link , use portal.dlinkddns.com. E se eles visitarem o link , use portal.company.com.

Se seus clientes acessarem ambos, obtenha um certificado com um dos nomes como DN e o outro como subjectAltName, para que possa ser usado para ambos.

Se eu estiver lendo corretamente nas entrelinhas da sua pergunta, tudo o que será acessado em um navegador é o link . caso: obtenha um certificado para esse nome.

    
por 29.03.2013 / 22:53
8

Se você tiver o domínio company.com (por exemplo) e quiser que o nome comum do certificado "apenas funcione", considere usar um nome comum baseado em curinga como este: *.company.com

Em seguida, o certificado SSL deve funcionar para o link e link e qualquer subdomínio que você escolher usar.

Nota: usei isso apenas em certificados auto-assinados, criados com o comando openssl, mas também pode funcionar para certificados "reais"; Eu não vejo uma razão pela qual eles não iriam. (Mas ouvi dizer que os certificados curinga podem ser mais caros do que os certificados não-curinga, quando comprados.)

É uma pena que o comando openssl não dê essa informação como uma dica, quando ele pede o Common Name. Ao assinar meus certificados SSL para os servidores de teste, eu uso rotineiramente um nome comum no formato "* .company.com".

    
por 04.10.2013 / 14:59