Qual nome de host do FQDN a ser usado na solicitação de assinatura de certificado SSL - ao usar um registro CNAME?

10

Temos um subdomínio ( https://portal.company.com ) que é o alias para um nome de host diferente (definido em um registro CNAME).

Esse nome de host DNS dinâmico ( https://portal.dlinkddns.com ) resolve para o endereço IP público (dinâmico) de nosso escritório. No escritório, o roteador está configurado para encaminhar a porta 443 para um servidor executando um portal da Web (Spiceworks) que a equipe pode acessar em casa. Mesmo que o endereço IP público do escritório seja alterado, o subdomínio ainda direcionará a equipe para o portal da web. Tudo funciona muito bem, além da (esperada) equipe de erro de certificado SSL ver quando eles se conectam ao site.

Acabei de comprar um certificado SSL e agora estou concluindo uma solicitação de assinatura de certificado no servidor.

O que me leva à minha pergunta ...

Ao concluir a solicitação de assinatura do certificado, para " Nome comum (por exemplo, servidor FQDN ou SEU nome) ", o que devo inserir?

Devo inserir o nome canônico ( https://portal.dlinkddns.com ) ou o alias ( https://portal.company.com )? O FQDN do servidor em si é "servername.companyname.local" - portanto, não posso usá-lo.

Todas as sugestões ou idéias serão muito apreciadas!

Austin '' Perigo '' Poderes
fonte

Respostas:

12

Você usa o nome em que o serviço é acessado. Portanto, se seus clientes do portal visitarem https://portal.dlinkddns.com , use portal.dlinkddns.com. E se eles visitarem https://portal.company.com , use portal.company.com.

Se seus clientes acessarem ambos, obtenha um certificado com um dos nomes como DN e o outro como subjectAltName, para que ele possa ser usado para ambos.

Se estou lendo corretamente nas entrelinhas da sua pergunta, tudo o que será acessado em um navegador é https://portal.company.com , portanto, no seu caso: obtenha um certificado para esse nome.

Dennis Kaarsemaker
fonte
Eu usei "portal.company.com" e tudo parece bom até agora. O processo de RSE está completo e o GoDaddy me emitiu meu certificado SSL. Atualizarei com os detalhes depois de importar o certificado para o Spiceworks.
Austin '' Danger '' Powers
Importei o certificado SSL e tudo está funcionando muito bem. Nenhum aviso do navegador agora. Felicidades
Austin '' Danger '' Powers
7

Se você possui o domínio company.com (por exemplo) e deseja que o Nome Comum do certificado "funcione", considere usar um Nome Comum baseado em curinga como este: *.company.com

Em seguida, o certificado SSL deve funcionar em https://company.com e https://www.company.com e em qualquer subdomínio que você escolher usar.

Nota: Eu usei isso apenas em certificados autoassinados, criados com o comando openssl, mas também pode funcionar para certificados "reais"; Não vejo uma razão pela qual eles não o veriam. (Mas ouvi dizer que os certificados curinga podem ser mais caros que os certificados não curinga, quando comprados.)

É uma pena que o comando openssl não dê essas informações como uma dica, quando pede o Nome Comum. Ao autoassinar meus certificados SSL para servidores de teste, uso rotineiramente um Nome Comum no formato "* .empresa.com".

user192673
fonte