Nama host FQDN mana yang digunakan untuk permintaan penandatanganan sertifikat SSL - ketika menggunakan data CNAME?

10

Kami memiliki subdomain ( https://portal.company.com ) yang merupakan alias untuk nama host yang berbeda (didefinisikan dalam catatan CNAME).

Nama host DNS dinamis ini ( https://portal.dlinkddns.com ) diselesaikan ke alamat IP publik (dinamis) dari kantor kami. Di kantor, router dikonfigurasikan untuk meneruskan port 443 ke server yang menjalankan portal web (Spiceworks) yang dapat diakses staf dari rumah. Bahkan jika alamat IP publik kantor berubah, subdomain masih akan mengarahkan staf ke portal web. Semuanya berfungsi dengan baik, terlepas dari staf kesalahan sertifikat SSL (yang diharapkan) lihat ketika mereka pertama kali terhubung ke situs.

Saya baru saja membeli sertifikat SSL, dan sekarang saya sedang dalam proses menyelesaikan permintaan penandatanganan sertifikat di server.

Yang mengarahkan saya ke pertanyaan saya ...

Saat menyelesaikan permintaan penandatanganan sertifikat, untuk " Nama Umum (mis. Server FQDN atau nama ANDA) ", apa yang harus saya masukkan?

Haruskah saya memasukkan nama kanonik ( https://portal.dlinkddns.com ) atau alias ( https://portal.company.com )? FQDN dari server itu sendiri adalah "servername.companyname.local" - jadi saya tidak bisa menggunakannya.

Setiap saran atau ide akan sangat dihargai!

Kekuatan Austin '' Bahaya ''
sumber

Jawaban:

12

Anda menggunakan nama layanan yang diakses. Jadi, jika klien portal Anda mengunjungi https://portal.dlinkddns.com , gunakan portal.dlinkddns.com. Dan jika mereka mengunjungi https://portal.company.com , gunakan portal.company.com.

Jika klien Anda akan mengakses keduanya, dapatkan sertifikat dengan salah satu nama sebagai DN dan yang lainnya sebagai subjectAltName, sehingga dapat digunakan untuk keduanya.

Jika saya membaca dengan benar di antara baris pertanyaan Anda, semua yang akan diakses di browser adalah https://portal.company.com , jadi dalam kasus Anda: dapatkan sertifikat untuk nama itu.

Dennis Kaarsemaker
sumber
Saya menggunakan "portal.company.com" dan semuanya terlihat bagus sejauh ini. Proses CSR selesai dan GoDaddy telah mengeluarkan saya dengan sertifikat SSL saya. Saya akan memperbarui dengan detail setelah saya mengimpor sertifikat ke Spiceworks.
Austin '' Bahaya '' Powers
Saya telah mengimpor sertifikat SSL dan semuanya berfungsi dengan baik. Tidak ada peringatan browser sekarang. Cheers
Austin '' Bahaya '' Powers
7

Jika Anda memiliki domain company.com (misalnya) dan Anda ingin Nama Umum sertifikat "hanya berfungsi", maka pertimbangkan untuk menggunakan Nama Umum berbasis wildcard seperti ini: *.company.com

Maka sertifikat SSL akan berfungsi untuk https://company.com dan https://www.company.com dan subdomain apa pun yang Anda pilih untuk digunakan.

Catatan: Saya hanya menggunakan ini dalam sertifikat yang ditandatangani sendiri, dibuat dengan perintah openssl, tetapi mungkin juga berfungsi untuk sertifikat "asli"; Saya tidak melihat alasan mengapa mereka tidak mau. (Tapi saya pernah mendengar bahwa sertifikat wildcard mungkin lebih mahal daripada sertifikat non-wildcard, saat dibeli.)

Sayang sekali bahwa perintah openssl tidak memberikan informasi ini sebagai petunjuk, ketika meminta Nama Umum. Ketika menandatangani sendiri sertifikat SSL saya untuk server pengujian, saya secara rutin menggunakan Nama Umum dalam format "* .company.com".

pengguna192673
sumber