Qual certificado SSL eu precisaria para nomes de domínio externos e internos?

1

Esta é uma rede escolar.

Oficial (nome de domínio acessível fora) é bgschwechat.ac.at (www.bgschwechat ..., mail.bgschwechat ... e ftp.bgschwechat ..)

Internamente, o domínio do Windows é denominado bgs.ac.at

Precisamos de certificados SSL (possivelmente baratos) para o Webserver e o Exchange-Server

Do nosso firewall (www.bgschwechat.ac.at) (Sophos UTM9), as requisições são colocadas em NAT para máquinas virtuais - algumas delas precisam de SSL

  • Webserver (executando o CENTOS - www.bgschwechat.ac.at)
  • O Exchange Server (chamado xch.bgs.ac.at) deve ser acessado via NAT como mail.bgschwechat.ac.at
  • Servidor WSUS (dc2.bgs.ac.at) - somente para clientes internos

Minha pergunta: que tipo de certificado SSL precisaríamos proteger, por exemplo? ambos os domínios (bgschwechat.ac.at AND bgs.ac.at) para que eles apareçam protegidos de fora quando NATTING por exemplo mail.bgschwechat.ac.at para xch.bgs.ac.at?

Ou precisamos renomear o domínio interno para o nome de domínio oficial?

... recomendações de onde adquirir tal certificado?

    
por reinhardS 28.02.2015 / 10:29

1 resposta

5

Eu suponho que você não receberá um certificado curinga para * .ac.at aqui;)

Um certificado com os dois nomes de domínio é chamado de multidomain-certificate , no seu caso, bgs.ac.at e bgschwechat.ac.at . Além disso, você precisa de certificados curinga para *bgs.ac.at e *bgschwechat.ac.at . Todos os nomes podem estar em um certificado usando Subject Alternative Names .

Você pode gerar um certificado com o OpenSSL usando um arquivo de configuração:

openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

usando uma chave existente bgschwechat.ac.at.key gerada por

openssl genrsa 4096 -out bgschwechat.ac.at.key

e usando o seguinte bgschwechat.ac.at.cnf :

[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

Você precisa pagar por dois certificados de domínio simples, além de dois curingas. Portanto, é definitivamente mais barato renomear o nome de domínio usado internamente (ou redirecioná-lo usando HTTP). Em vez dos curingas, você também pode adicionar todos os subdomínios (email, www, etc.) à lista de domínios alternativos.

Se você não quiser proteger seus domínios internos bgs.ac.at , pode deixar isso de lado.

em apenas endereços "fora de resolução"? : cada CA pode definir suas próprias regras. Na maioria dos casos, é uma questão de dinheiro, como sempre acontece com as ACs. Normalmente, o CA não emitirá certificados para endereços não resolvidos (somente se você pagar mais). Como o bgs.ac.at não é resolvido, você não obterá um certificado tão facilmente. Se for usado apenas internamente, você também poderá emitir um certificado autoassinado e implantá-lo em todos os computadores.

As recomendações sobre onde comprar algo estão fora do tópico no Serverfault.

    
por 28.02.2015 / 11:12