¿Qué nombre de host FQDN usar para la solicitud de firma de certificado SSL cuando se usa un registro CNAME?

10

Tenemos un subdominio ( https://portal.company.com ) que es el alias de un nombre de host diferente (definido en un registro CNAME).

Este nombre de host DNS dinámico ( https://portal.dlinkddns.com ) se resuelve en la dirección IP pública (dinámica) de nuestra oficina. En la oficina, el enrutador está configurado para reenviar el puerto 443 a un servidor que ejecuta un portal web (Spiceworks) al que el personal puede acceder desde su hogar. Incluso si cambia la dirección IP pública de la oficina, el subdominio aún dirigirá al personal al portal web. Todo funciona muy bien, aparte del error (esperado) del certificado SSL que el personal ve cuando se conectan por primera vez al sitio.

Acabo de comprar un certificado SSL y ahora estoy en el proceso de completar una solicitud de firma de certificado en el servidor.

Lo cual me lleva a mi pregunta...

Al completar la solicitud de firma de certificado, para " Nombre común (por ejemplo, FQDN del servidor o SU nombre) ", ¿qué debo ingresar?

¿Debo ingresar el nombre canónico ( https://portal.dlinkddns.com ) o el alias ( https://portal.company.com )? El FQDN del servidor en sí es "servername.companyname.local", por lo que no puedo usarlo.

Cualquier sugerencia o idea sería muy apreciada!

Austin '' Peligro '' Poderes
fuente

Respuestas:

12

Utiliza el nombre al que se accede al servicio. Entonces, si sus clientes del portal visitan https://portal.dlinkddns.com , usen portal.dlinkddns.com. Y si visitan https://portal.company.com , usan portal.company.com.

Si sus clientes tendrán acceso a ambos, obtenga un certificado con uno de los nombres como DN y el otro como subjectAltName, para que pueda usarse para ambos.

Si estoy leyendo correctamente entre las líneas de su pregunta, todo lo que se accederá en un navegador es https://portal.company.com , por lo que en su caso: obtenga un certificado para ese nombre.

Dennis Kaarsemaker
fuente
Utilicé "portal.company.com" y todo se ve bien hasta ahora. El proceso de CSR está completo y GoDaddy me ha emitido mi certificado SSL. Actualizaré con detalles después de importar el certificado a Spiceworks.
Austin '' Peligro '' Powers
Importé el certificado SSL y todo funciona muy bien. No hay advertencias del navegador ahora. Saludos
Austin '' Peligro '' Powers
7

Si tiene el dominio company.com (por ejemplo) y desea que el Nombre común del certificado "simplemente funcione", considere usar un Nombre común basado en comodines como este: *.company.com

Luego, el certificado SSL debería funcionar para https://company.com y https://www.company.com y cualquier subdominio que elija utilizar.

Nota: He usado esto solo en certificados autofirmados, creados con el comando openssl, pero también podría funcionar para certificados "reales"; No veo una razón por la que no lo harían. (Pero he oído que los certificados comodín pueden ser más caros que los certificados que no son comodines, cuando se compran).

Es una pena que el comando openssl no proporcione esta información como una pista, cuando solicita el nombre común. Cuando autofirmo mis certificados SSL para servidores de prueba, uso habitualmente un nombre común en el formato "* .company.com".

usuario192673
fuente