Certificados de acesso direto

6

Eu quero saber se posso usar um único certificado para toda a funcionalidade de acesso direto.

Estou trabalhando para configurar o DirectAccess em uma rede relativamente pequena. Como esta é uma rede pequena, estou tentando encontrar a configuração mínima necessária.

Em um ambiente de teste, executei uma instalação rápida com o assistente para o Direct Access, permitindo que ele gerasse automaticamente os certificados autoassinados, e o resultado foram três certificados.

  • CN = DirectAccess.example.org

    • Nome amigável: DirectAccess-IPHTTPS
    • Finalidades: autenticação do servidor
  • CN = CN = DirectAccess-NLS.example.org

    • Nome amigável: DirectAccess-NLS
    • Finalidades: autenticação do servidor
  • CN = DirectAccess-RADIUS-Encrypt-servername.example.org

    • Nome amigável: certificado emitido pelo Acesso Remoto para os segredos compartilhados do RADIUS
    • Finalidades: todas

Então, para reafirmar minha pergunta, eu realmente preciso de 3 certificados separados aqui? Posso fazer isso com um único certificado e nomes alternativos de assunto? A partir das descrições que eu li, os certificados NLS e IPHTTPS são usados para HTTPS, que parecem que devem suportar nomes alternativos.

    
por Zoredache 12.02.2014 / 01:28

1 resposta

0

Eu tive esse trabalho usando um certificado curinga com uma SAN diferente de caractere curinga, porque o nome interno dos meus servidores era diferente do DNS externo.

Assim, no caso mencionado acima, o certificado seria * .example.org possivelmente com uma SAN de * .example.local para ser verdadeiro também para o nome interno do servidor se for diferente de seu DNS externo nome.

Se você for a rota curinga, simplesmente saiba que ela é considerada menos segura do que listar os FQDNs exatos. Em situações em que você tem padrões de conformidade para aderir, pode não ser considerado o caminho mais seguro.

    
por 13.12.2014 / 06:47