Wir haben eine Subdomain ( https://portal.company.com ), die der Alias für einen anderen Hostnamen ist (definiert in einem CNAME-Datensatz).
Dieser dynamische DNS-Hostname ( https://portal.dlinkddns.com ) wird in die öffentliche (dynamische) IP-Adresse unseres Büros aufgelöst. Im Büro ist der Router so konfiguriert, dass Port 443 an einen Server weitergeleitet wird, auf dem ein (Spiceworks) Webportal ausgeführt wird, auf das die Mitarbeiter von zu Hause aus zugreifen können. Selbst wenn sich die öffentliche IP-Adresse des Büros ändert, leitet die Subdomain die Mitarbeiter weiterhin zum Webportal. Alles funktioniert hervorragend - abgesehen von den (erwarteten) SSL-Zertifikatfehlern, die Mitarbeiter sehen, wenn sie zum ersten Mal eine Verbindung zur Site herstellen.
Ich habe gerade ein SSL-Zertifikat gekauft und bin gerade dabei, eine Zertifikatsignierungsanforderung auf dem Server abzuschließen.
Was mich zu meiner Frage führt ...
Was muss ich beim Ausfüllen der Zertifikatsignierungsanforderung für " Allgemeiner Name (z. B. Server-FQDN oder IHR Name) " eingeben?
Soll ich den kanonischen Namen ( https://portal.dlinkddns.com ) oder den Alias ( https://portal.company.com ) eingeben ? Der FQDN des Servers selbst lautet "servername.companyname.local" - das kann ich also nicht verwenden.
Anregungen oder Ideen wäre sehr dankbar!
quelle
Wenn Sie beispielsweise die Domain company.com haben und möchten, dass der allgemeine Name des Zertifikats "nur funktioniert", sollten Sie einen Platzhalter-basierten allgemeinen Namen wie diesen verwenden:
*.company.com
Dann sollte das SSL-Zertifikat für https://company.com und https://www.company.com und für alle Subdomains funktionieren, die Sie verwenden möchten.
Hinweis: Ich habe dies nur in selbstsignierten Zertifikaten verwendet, die mit dem Befehl openssl erstellt wurden. Es funktioniert jedoch möglicherweise auch für "echte" Zertifikate. Ich sehe keinen Grund, warum sie es nicht tun würden. (Aber ich habe gehört, dass Wildcard-Zertifikate beim Kauf möglicherweise teurer sind als Nicht-Wildcard-Zertifikate.)
Es ist eine Schande, dass der Befehl openssl diese Informationen nicht als Hinweis gibt, wenn er nach dem allgemeinen Namen fragt. Wenn ich meine SSL-Zertifikate für Testserver selbst signiere, verwende ich routinemäßig einen allgemeinen Namen im Format "* .company.com".
quelle