SSL; FQDN do host diferente do DNS voltado para a Internet - O que o CN deve usar para o CSR?

Navegue suas respostas
1

Eu tenho serviço executando uma caixa do Windows que os usuários acessam via http de dentro da nossa rede e da internet. Eles acessam esse serviço pelo navegador e usando uma ferramenta de área de trabalho

O FQDN da caixa é somebox.ourdomain.com .

Estamos usando o DYNDNS para que as solicitações externas para link recebam nosso IP público. Usuários externos acessam o serviço acessando link , e nosso roteador encaminha para somebox.ourdomain.com: 80

Funciona bem. Mas agora queremos usar o SSL.

Estou um pouco confuso se o CN que devo usar é o FQDN do host em si (somebox.ourdomain.com) OU o da entrada DNS (theservice.otherdomain.com). Eu suspeito que não é o último, pois isso iria quebrar para todas as pessoas internas.

Alguém pode confirmar? Este é um cenário em que vale a pena jogar primeiro com um certificado auto-assinado para garantir que eu tenha os valores de CSR adequados ANTES DE deixar cair algumas centenas de dólares em um certificado assinado pela CA?

    
por Russell Christopher 23.09.2013 / 14:34

1 resposta

1

O CN do certificado precisa ser o nome de domínio totalmente qualificado que seus clientes usarão para acessar o serviço. Por exemplo, se eu acessar bankaccounts.hugebank.com do meu PC, haverá um certificado emitido para bankaccounts.hugebank.com . Mais especificamente, o assunto do certificado será algo como CN=bankaccounts.hugebank.com, O=BigBank Inc, L=Detroit, S=Michigan, C=US , mesmo que o site em si não esteja hospedado em uma única máquina cujo nome de host real seja bankaccounts.

    
por 23.09.2013 / 15:03

Tags

Manipulação de senhas no Apache para o servidor LDAP remoto Filtrar sites via Squid