使用CNAME记录时,哪个FQDN主机名用于SSL证书签名请求?


10

我们有一个子域(https://portal.company.com),它是另一个主机名(在CNAME记录中定义)的别名。

此动态DNS主机名(https://portal.dlinkddns.com)解析为我们办公室的公共(动态)IP地址。在办公室,路由器配置为将端口443转发到运行(Spiceworks)Web门户的服务器,员工可以在家中访问该Web门户。即使办公室的公共IP地址发生变化,该子域仍会将工作人员引导到Web门户。一切正常,除了(预期的)SSL证书错误人员首次连接到站点时所看到的。

我刚刚购买了SSL证书,现在正在完成服务器上的证书签名请求。

这引出我的问题...

完成证书签名请求后,对于“ 通用名称(例如服务器FQDN或您的姓名) ”,我应该输入什么?

我应该输入规范名称(https://portal.dlinkddns.com)还是别名(https://portal.company.com)?服务器本身的FQDN是“ servername.companyname.local”-所以我不能使用它。

任何建议或想法将不胜感激!

Answers:


12

您使用访问服务的名称。因此,如果您的门户网站客户访问https://portal.dlinkddns.com,请使用portal.dlinkddns.com。如果他们访问https://portal.company.com,请使用portal.company.com。

如果您的客户端将同时访问这两个客户端,请获得一个证书,其名称之一为DN,另一个名称为subjectAltName,因此可同时用于两者。

如果我在问题的两行之间都正确阅读,则将在浏览器中访问的所有内容都是https://portal.company.com,因此在您的情况下:获取该名称的证书。


我使用了“ portal.company.com”,到目前为止一切看起来都不错。CSR流程已完成,GoDaddy已向我颁发了我的SSL证书。将证书导入Spiceworks之后,我将更新详细信息。
奥斯丁的“危险”力量

我已经导入了SSL证书,并且一切正常。现在没有浏览器警告。欢呼声
奥斯丁的“危险”

7

如果您拥有域名company.com(例如),并且希望证书的通用名称“正常工作”,则考虑使用基于通配符的通用名称,如下所示: *.company.com

然后,SSL证书应适用于https://company.comhttps://www.company.com以及您选择使用的任何子域。

注意:我仅在使用openssl命令创建的自签名证书中使用过此方法,但它也可能适用于“真实”证书;我不知道为什么他们不这样做。(但是我听说,购买通配符证书可能比非通配符证书贵。)

当要求通用名称时,openssl命令没有提供此信息作为提示是很可惜的。为测试服务器自签名我的SSL证书时,我通常使用“ * .company.com”格式的通用名称。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.