Eu suponho que você não receberá um certificado curinga para * .ac.at aqui;)
Um certificado com os dois nomes de domínio é chamado de multidomain-certificate , no seu caso, bgs.ac.at
e bgschwechat.ac.at
. Além disso, você precisa de certificados curinga para *bgs.ac.at
e *bgschwechat.ac.at
. Todos os nomes podem estar em um certificado usando Subject Alternative Names .
Você pode gerar um certificado com o OpenSSL usando um arquivo de configuração:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
usando uma chave existente bgschwechat.ac.at.key
gerada por
openssl genrsa 4096 -out bgschwechat.ac.at.key
e usando o seguinte bgschwechat.ac.at.cnf
:
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]
Você precisa pagar por dois certificados de domínio simples, além de dois curingas. Portanto, é definitivamente mais barato renomear o nome de domínio usado internamente (ou redirecioná-lo usando HTTP). Em vez dos curingas, você também pode adicionar todos os subdomínios (email, www, etc.) à lista de domínios alternativos.
Se você não quiser proteger seus domínios internos bgs.ac.at
, pode deixar isso de lado.
em apenas endereços "fora de resolução"? : cada CA pode definir suas próprias regras. Na maioria dos casos, é uma questão de dinheiro, como sempre acontece com as ACs. Normalmente, o CA não emitirá certificados para endereços não resolvidos (somente se você pagar mais). Como o bgs.ac.at não é resolvido, você não obterá um certificado tão facilmente. Se for usado apenas internamente, você também poderá emitir um certificado autoassinado e implantá-lo em todos os computadores.
As recomendações sobre onde comprar algo estão fora do tópico no Serverfault.