ชื่อโฮสต์ FQDN ใดที่จะใช้สำหรับการร้องขอการลงนามใบรับรอง SSL - เมื่อใช้ระเบียน CNAME

10

เรามีโดเมนย่อย ( https://portal.company.com ) ซึ่งเป็นชื่อแทนชื่อโฮสต์อื่น (กำหนดไว้ในระเบียน CNAME)

ชื่อโฮสต์ DNS แบบไดนามิกนี้ ( https://portal.dlinkddns.com ) จะแก้ไขที่อยู่ IP สาธารณะ (แบบไดนามิก) ของสำนักงานของเรา ที่สำนักงานเราเตอร์ได้รับการกำหนดค่าให้ส่งต่อพอร์ต 443 ไปยังเซิร์ฟเวอร์ที่ใช้เว็บพอร์ทัล (Spiceworks) ที่พนักงานสามารถเข้าถึงได้จากที่บ้าน แม้ว่าที่อยู่ IP สาธารณะของสำนักงานจะเปลี่ยนไปโดเมนย่อยจะยังคงนำพนักงานไปยังเว็บพอร์ทัล ทุกอย่างทำงานได้ดีนอกเหนือจากเจ้าหน้าที่ข้อผิดพลาดใบรับรอง SSL ที่คาดว่าจะเห็นเมื่อพวกเขาเชื่อมต่อกับเว็บไซต์เป็นครั้งแรก

ฉันเพิ่งซื้อใบรับรอง SSL และตอนนี้ฉันอยู่ระหว่างดำเนินการตามคำขอลงนามใบรับรองบนเซิร์ฟเวอร์

ซึ่งนำฉันไปสู่คำถามของฉัน ...

เมื่อกรอกคำขอลงนามใบรับรองสำหรับ " ชื่อสามัญ (เช่นเซิร์ฟเวอร์ FQDN หรือชื่อของคุณ) " ฉันควรป้อนอะไร

ฉันควรป้อนชื่อแคนนอน ( https://portal.dlinkddns.com ) หรือนามแฝง ( https://portal.company.com ) หรือไม่ FQDN ของเซิร์ฟเวอร์นั้นคือ "servername.companyname.local" - ดังนั้นฉันไม่สามารถใช้สิ่งนั้นได้

ข้อเสนอแนะหรือความคิดใด ๆ ที่จะได้รับการชื่นชมมาก!

ssl-certificate  cname-record  fqdn 
พลังของ Austin '' Danger ''
แหล่งที่มา

คำตอบ:

12

คุณใช้ชื่อที่มีการเข้าถึงบริการเป็น ดังนั้นหากพอร์ทัลไคลเอ็นต์ของคุณไปที่https://portal.dlinkddns.comให้ใช้ portal.dlinkddns.com และหากพวกเขาไปที่https://portal.company.comให้ใช้ portal.company.com

หากลูกค้าของคุณจะเข้าถึงทั้งสองได้รับใบรับรองที่มีชื่อใดชื่อหนึ่งเป็น DN และอีกชื่อหนึ่งเป็น subjectAltName เพื่อให้สามารถใช้ได้ทั้งคู่

หากฉันอ่านอย่างถูกต้องระหว่างบรรทัดคำถามของคุณทั้งหมดที่จะเข้าถึงได้ในเบราว์เซอร์คือhttps://portal.company.comดังนั้นในกรณีของคุณ: ขอใบรับรองสำหรับชื่อนั้น

เดนนิสคาร์เซเมเกอร์
แหล่งที่มา
ฉันใช้ "portal.company.com" และทุกอย่างดูดีมาก กระบวนการ CSR เสร็จสมบูรณ์และ GoDaddy ได้ออกใบรับรอง SSL ให้ฉัน ฉันจะอัปเดตพร้อมรายละเอียดหลังจากนำเข้าใบรับรองไปยัง Spiceworks
Austin '' Danger '' พลัง
ฉันได้นำเข้าใบรับรอง SSL และทุกอย่างทำงานได้ดี ไม่มีคำเตือนเบราว์เซอร์ในขณะนี้ ไชโย
Austin '' Danger '' พลัง
7

หากคุณมีโดเมน company.com (ตัวอย่าง) และคุณต้องการให้ชื่อสามัญของใบรับรองเป็น "เพิ่งใช้งาน" ให้พิจารณาใช้ชื่อสามัญที่ใช้ไวด์การ์ดแบบนี้: *.company.com

จากนั้นใบรับรอง SSL ควรใช้กับhttps://company.comและhttps://www.company.comและโดเมนย่อยที่คุณเลือกใช้

หมายเหตุ: ฉันใช้สิ่งนี้ในใบรับรองที่ลงนามเองเท่านั้นซึ่งสร้างด้วยคำสั่ง openssl แต่อาจใช้ได้กับใบรับรอง "ของจริง" ด้วยเช่นกัน ฉันไม่เห็นเหตุผลที่พวกเขาจะไม่ทำ (แต่ฉันได้ยินมาว่าใบรับรองไวด์การ์ดอาจแพงกว่าใบรับรองที่ไม่ใช่ไวด์การ์ดเมื่อซื้อ)

เป็นที่น่าเสียดายที่คำสั่ง openssl ไม่ได้ให้ข้อมูลนี้เป็นคำใบ้เมื่อถามถึงชื่อสามัญ เมื่อลงนามใบรับรอง SSL ด้วยตนเองสำหรับเซิร์ฟเวอร์ทดสอบฉันมักใช้ชื่อสามัญในรูปแบบ "* .company.com" เป็นประจำ

user192673
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.