我们有一个子域 ( https://portal.company.com ),它是不同主机名的别名(在 CNAME 记录中定义)。
此动态 DNS 主机名 ( https://portal.dlinkddns.com ) 解析为我们办公室的公共(动态)IP 地址。在办公室,路由器配置为将端口 443 转发到运行 (Spiceworks) 门户网站的服务器,员工可以从家里访问该门户网站。即使办公室的公共 IP 地址发生变化,子域仍会将员工引导至 Web 门户。一切都很好——除了工作人员在首次连接到该站点时看到的(预期的)SSL 证书错误。
我刚刚购买了 SSL 证书,现在正在服务器上完成证书签名请求。
这引出了我的问题......
完成证书签名请求时,对于“ Common Name (eg server FQDN or YOUR name) ”,我应该输入什么?
我应该输入规范名称 ( https://portal.dlinkddns.com ) 还是别名 ( https://portal.company.com )?服务器本身的 FQDN 是“servername.companyname.local”——所以我不能使用它。
任何建议或想法将不胜感激!
您使用访问服务的名称。因此,如果您的门户客户端访问https://portal.dlinkddns.com,请使用 portal.dlinkddns.com。如果他们访问https://portal.company.com,请使用 portal.company.com。
如果您的客户将同时访问这两者,请获取一个证书,其中一个名称为 DN,另一个名称为 subjectAltName,因此它可用于两者。
如果我没看错你的问题,那么在浏览器中访问的所有内容都是https://portal.company.com,所以在你的情况下:获取该名称的证书。
如果您有域 company.com(例如)并且您希望证书的通用名称“正常工作”,那么请考虑使用基于通配符的通用名称,如下所示:
*.company.com然后 SSL 证书应该适用于https://company.com和https://www.company.com以及您选择使用的任何子域。
注意:我只在使用 openssl 命令创建的自签名证书中使用了它,但它也可能适用于“真实”证书;我看不出他们不这样做的原因。(但我听说购买时,通配符证书可能比非通配符证书更贵。)
遗憾的是,openssl 命令在询问通用名称时没有提供此信息作为提示。在为测试服务器自签名 SSL 证书时,我通常使用格式为“*.company.com”的通用名称。