我们有一个子域(https://portal.company.com),它是另一个主机名(在CNAME记录中定义)的别名。
此动态DNS主机名(https://portal.dlinkddns.com)解析为我们办公室的公共(动态)IP地址。在办公室,路由器配置为将端口443转发到运行(Spiceworks)Web门户的服务器,员工可以在家中访问该Web门户。即使办公室的公共IP地址发生变化,该子域仍会将工作人员引导到Web门户。一切正常,除了(预期的)SSL证书错误人员首次连接到站点时所看到的。
我刚刚购买了SSL证书,现在正在完成服务器上的证书签名请求。
这引出我的问题...
完成证书签名请求后,对于“ 通用名称(例如服务器FQDN或您的姓名) ”,我应该输入什么?
我应该输入规范名称(https://portal.dlinkddns.com)还是别名(https://portal.company.com)?服务器本身的FQDN是“ servername.companyname.local”-所以我不能使用它。
任何建议或想法将不胜感激!
Answers:
您使用访问服务的名称。因此,如果您的门户网站客户访问https://portal.dlinkddns.com,请使用portal.dlinkddns.com。如果他们访问https://portal.company.com,请使用portal.company.com。
如果您的客户端将同时访问这两个客户端,请获得一个证书,其名称之一为DN,另一个名称为subjectAltName,因此可同时用于两者。
如果我在问题的两行之间都正确阅读,则将在浏览器中访问的所有内容都是https://portal.company.com,因此在您的情况下:获取该名称的证书。
如果您拥有域名company.com(例如),并且希望证书的通用名称“正常工作”,则考虑使用基于通配符的通用名称,如下所示: *.company.com
然后,SSL证书应适用于https://company.com和https://www.company.com以及您选择使用的任何子域。
注意:我仅在使用openssl命令创建的自签名证书中使用过此方法,但它也可能适用于“真实”证书;我不知道为什么他们不这样做。(但是我听说,购买通配符证书可能比非通配符证书贵。)
当要求通用名称时,openssl命令没有提供此信息作为提示是很可惜的。为测试服务器自签名我的SSL证书时,我通常使用“ * .company.com”格式的通用名称。