web-dev-qa-db-fra.com

Quel nom d'hôte FQDN à utiliser pour la demande de signature de certificats SSL - lors de l'utilisation d'un enregistrement CNAME?

Nous avons un sous-domaine (https://portal.company.com) C'est l'alias pour un nom d'hôte différent (défini dans un enregistrement CName).

Ce nom d'hôte DNS dynamique (https://portal.dlinkdns.com) Décide à l'adresse IP publique (dynamique) de notre bureau. Au bureau, le routeur est configuré pour transférer le port 443 à un serveur exécutant un portail Web (Spiceworks) que le personnel peut accéder à la maison. Même si l'adresse IP publique du Bureau change, le sous-domaine dirigera toujours le personnel du portail Web. Tout fonctionne bien à l'écart du personnel d'erreur du certificat SSL (attendu) Voir quand ils se connectent pour la première fois au site.

Je viens d'acheter un certificat SSL et je suis maintenant en train de terminer une demande de signature de certificat sur le serveur.

Ce qui me conduit à ma question ...

Lorsque vous remplissez la demande de signature de certificat, pour " Nom commun (E.G. Server FQDN ou votre nom) ", que dois-je entrer?

Dois-je entrer le nom canonique (- https://portal.dlinkdns.com ) ou l'alias ( https://portal.company.com )? Le FQDN du serveur lui-même est "ServerName.companyName.Local" - donc je ne peux donc pas l'utiliser.

Toute suggestion ou idées serait très appréciée!

10

Vous utilisez le nom que le service est accessible en tant que. Donc, si vos clients de portail visitent https://portal.dlinkdns.com , utilisez portail.dlinkddns.com. Et s'ils visitent https://portal.company.com , utilisez Portal.cpany.com.

Si vos clients accèdent à la fois, obtenez un certificat avec l'un des noms de DN et de l'autre en tant que soumialTaltName, il peut donc être utilisé pour les deux.

Si je lis correctement entre les lignes de votre question, tout ce qui sera accessible dans un navigateur est https://portal.company.com , donc dans votre cas: obtenir un certificat pour ce nom .

12
Dennis Kaarsemaker

Si vous avez la société de domaine Company.com (par exemple) et que vous souhaitez que le nom commun du certificat "ne fonctionne que", envisagez d'utiliser un nom commun basé sur la carte générique comme ceci: *.company.com

Ensuite, le certificat SSL devrait fonctionner pour https://company.com et https://www.company.com et quels que soient les sous-domaines que vous choisissez d'utiliser.

Remarque: je n'ai utilisé cela que dans des certificats auto-signés, créés avec la commande OpenSSL, mais cela pourrait également fonctionner pour des certificats "réels"; Je ne vois pas une raison pour laquelle ils ne le feraient pas. (Mais j'ai entendu dire que les certificats génériques pourraient être plus chers que les certificats non génériques, lors de l'achat.)

Il est dommage que la commande openssl ne donne pas cette information comme indice, lorsqu'il demande le nom commun. Lors de la signature automatique de mes certificats SSL pour les serveurs de test, j'utilise régulièrement un nom commun dans le format "* .company.com".

7
user192673