Welcher FQDN-Hostname soll für die SSL-Zertifikatsignierungsanforderung verwendet werden - bei Verwendung eines CNAME-Datensatzes?

10

Wir haben eine Subdomain ( https://portal.company.com ), die der Alias ​​für einen anderen Hostnamen ist (definiert in einem CNAME-Datensatz).

Dieser dynamische DNS-Hostname ( https://portal.dlinkddns.com ) wird in die öffentliche (dynamische) IP-Adresse unseres Büros aufgelöst. Im Büro ist der Router so konfiguriert, dass Port 443 an einen Server weitergeleitet wird, auf dem ein (Spiceworks) Webportal ausgeführt wird, auf das die Mitarbeiter von zu Hause aus zugreifen können. Selbst wenn sich die öffentliche IP-Adresse des Büros ändert, leitet die Subdomain die Mitarbeiter weiterhin zum Webportal. Alles funktioniert hervorragend - abgesehen von den (erwarteten) SSL-Zertifikatfehlern, die Mitarbeiter sehen, wenn sie zum ersten Mal eine Verbindung zur Site herstellen.

Ich habe gerade ein SSL-Zertifikat gekauft und bin gerade dabei, eine Zertifikatsignierungsanforderung auf dem Server abzuschließen.

Was mich zu meiner Frage führt ...

Was muss ich beim Ausfüllen der Zertifikatsignierungsanforderung für " Allgemeiner Name (z. B. Server-FQDN oder IHR Name) " eingeben?

Soll ich den kanonischen Namen ( https://portal.dlinkddns.com ) oder den Alias ​​( https://portal.company.com ) eingeben ? Der FQDN des Servers selbst lautet "servername.companyname.local" - das kann ich also nicht verwenden.

Anregungen oder Ideen wäre sehr dankbar!

Austin '' Danger '' Powers
quelle

Antworten:

12

Sie verwenden den Namen, unter dem auf den Dienst zugegriffen wird. Wenn Ihre Portal-Kunden https://portal.dlinkddns.com besuchen , verwenden Sie portal.dlinkddns.com. Wenn sie https://portal.company.com besuchen , verwenden Sie portal.company.com.

Wenn Ihre Clients auf beide zugreifen, erhalten Sie ein Zertifikat mit einem der Namen als DN und dem anderen als subjectAltName, damit es für beide verwendet werden kann.

Wenn ich zwischen den Zeilen Ihrer Frage richtig lese, wird in einem Browser nur auf https://portal.company.com zugegriffen. In Ihrem Fall sollten Sie also ein Zertifikat für diesen Namen erhalten.

Dennis Kaarsemaker
quelle
Ich habe "portal.company.com" verwendet und alles sieht bisher gut aus. Der CSR-Prozess ist abgeschlossen und GoDaddy hat mir mein SSL-Zertifikat ausgestellt. Ich werde mit Details aktualisieren, nachdem ich das Zertifikat in Spiceworks importiert habe.
Austin '' Danger '' Powers
Ich habe das SSL-Zertifikat importiert und alles funktioniert hervorragend. Keine Browser-Warnungen jetzt. Prost
Austin '' Danger '' Powers
7

Wenn Sie beispielsweise die Domain company.com haben und möchten, dass der allgemeine Name des Zertifikats "nur funktioniert", sollten Sie einen Platzhalter-basierten allgemeinen Namen wie diesen verwenden: *.company.com

Dann sollte das SSL-Zertifikat für https://company.com und https://www.company.com und für alle Subdomains funktionieren, die Sie verwenden möchten.

Hinweis: Ich habe dies nur in selbstsignierten Zertifikaten verwendet, die mit dem Befehl openssl erstellt wurden. Es funktioniert jedoch möglicherweise auch für "echte" Zertifikate. Ich sehe keinen Grund, warum sie es nicht tun würden. (Aber ich habe gehört, dass Wildcard-Zertifikate beim Kauf möglicherweise teurer sind als Nicht-Wildcard-Zertifikate.)

Es ist eine Schande, dass der Befehl openssl diese Informationen nicht als Hinweis gibt, wenn er nach dem allgemeinen Namen fragt. Wenn ich meine SSL-Zertifikate für Testserver selbst signiere, verwende ich routinemäßig einen allgemeinen Namen im Format "* .company.com".

user192673
quelle