这似乎应该可以,但是PKI很复杂,我想请教一下可以给出权威答案的人。
背景:
我是一家公司的网络工程师;为了论证,我们将调用我们的 domain thatcompany.com。
我通过Cisco ISE (只是一个花哨的 RADIUS 服务器)验证了一些BYOD无线服务,并使用 90 天 Comodo 试用 SSL 证书对其进行了配置,并带有此SAN字段注 1:
DNS:radius01.thatcompany.comDNS:radius02.thatcompany.comIP:192.0.2.1(反向映射到 radius01.thatcompany.com)IP:192.0.2.2(反向映射到 radius02.thatcompany.com)
如果生活很简单,我会购买相应的 SSL 证书并完成它。然而...
- 我需要通配符证书注 2;这些证书比普通证书贵大约 50%(Comodo 称之为统一通信证书)。
- 由于我们花了这么多钱,我的老板想重新使用我购买的任何证书,以将信任链回 Comodo,以获得尚未构建的本地 thatcompany.com Windows AD 本地根 CA。假设该服务器的 DNS 名称是 pki01.thatcompany.com。
问题是我已经为 Comodo 提供了CSR,并且CSR在 SAN 中没有 pki01.thatcompany.com 。在部署Cisco ISE服务器后,我决定提交本地根 CA ,我想了解是否值得联系 Comodo 让他们针对更新的CSR颁发 UC 证书。
问题:
如果我购买了前面提到的 Comodo Unified Communications 通配符证书,是否有充分的理由将未来的 Windows AD 本地根 CA DNS 和 IP 放在UC 证书的SAN字段中?是否还有其他原因导致我们无法重用此 Comodo UC 通配符证书来构建 Windows 本地根 CA?
笔记
注意 1:Cisco 建议您将 RADIUS 服务器的显式 IP 和 DNS 名称都放在 SAN 字段中。
注意 2:思科建议您支付通配符证书(即放入DNS:*.thatcompany.comSAN ),因为某些 EAP 请求者已损坏(参考 Aaron Woland 的 CiscoLive BRKSEC-3698 视频)。但是,Comodo 不会颁发试用通配符证书。
这是不可能的 - 颁发给您的最终实体证书将包含“基本约束”属性,这些属性将阻止它有效地用作中间证书颁发机构。
因此,您要么需要完全使用本地(创建本地根,从中为 RADIUS 颁发证书,并让所有设备都信任它),要么坚持从公共证书颁发机构购买所需的所有证书,例如科莫多。
本地 CA 也使通配符选项更受欢迎,因为从您自己的系统中发布其中一个不需要额外费用,但我想说可能使用您的试用证书进行测试以确定您是否需要担心与损坏的 EAP 客户端。