Início / server / Perguntas / 672072
Accepted
reinhardS
Asked: 2015-03-01 01:29:03 +0800 CST

Qual certificado SSL daria suporte a nomes de domínio externos e internos?

  • 772

Esta é uma rede-escola.

Oficial (nome de domínio acessível fora) é bgschwechat.ac.at (www.bgschwechat..., mail.bgschwechat... e ftp.bgschwechat..)

Internamente, o domínio do Windows é denominado bgs.ac.at

Precisamos de certificados SSL (possivelmente baratos) para Webserver e Exchange-Server

Do nosso firewall (www.bgschwechat.ac.at) (Sophos UTM9) as solicitações são NATed para máquinas virtuais - algumas delas precisam de SSL

  • Servidor Web (executando CENTOS - www.bgschwechat.ac.at)
  • Exchange Server (chamado xch.bgs.ac.at) deve ser acessível via NAT como mail.bgschwechat.ac.at
  • Servidor WSUS (dc2.bgs.ac.at) - somente para clientes internos

Minha pergunta: Que tipo de certificado SSL precisaríamos para proteger, por exemplo. ambos os domínios (bgschwechat.ac.at E bgs.ac.at) para que pareçam protegidos de fora ao NATTING por exemplo mail.bgschwechat.ac.at para xch.bgs.ac.at ?

Ou precisamos renomear o domínio interno para o nome de domínio oficial?

...recomendações onde comprar tal certificado?

ssl

1 respostas

  1. Best Answer

    Presumo que você não receberá um certificado curinga para *.ac.at aqui ;)

    Um certificado com ambos os nomes de domínio é chamado de multidomain-certificate , no seu caso bgs.ac.ate bgschwechat.ac.at. Além disso, você precisa de certificados curinga para *.bgs.ac.ate *.bgschwechat.ac.at. Todos os nomes podem estar em um certificado usando Subject Alternative Names .

    Você pode gerar tal certificado com OpenSSL usando um arquivo de configuração:

    openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

    usando uma chave existente bgschwechat.ac.at.keygerada por

    openssl genrsa 4096 -out bgschwechat.ac.at.key

    e usando o seguinte bgschwechat.ac.at.cnf:

    [req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

    Você tem que pagar por 2 certificados de domínio simples aqui, mais 2 curingas. Portanto, é definitivamente mais barato renomear o nome de domínio usado internamente (ou redirecioná-lo usando HTTP). Em vez dos curingas, você também pode adicionar todos os subdomínios (mail, www, etc.) à lista de domínios alternativos.

    Se você não deseja proteger seus domínios internos bgs.ac.at, pode deixar isso de fora.

    apenas em endereços "fora resolvíveis"? : Cada CA pode definir suas próprias regras. Na maioria dos casos, é uma questão de dinheiro, como sempre acontece com as CAs. Normalmente, as CAs não emitem certificados para endereços insolúveis (somente se você pagar mais). Como o bgs.ac.at não pode ser resolvido, você não obterá um certificado tão facilmente. Se for usado apenas internamente, você também pode emitir um certificado autoassinado e implantá-lo em todos os computadores.

    Recomendações sobre onde comprar algo estão fora do tópico no Serverfault.

    • 5

relate perguntas