Thi*_*his 3 ssl certificate pki certificate-authority
这看起来应该可行,但是PKI很复杂,我想请教可以给出权威答案的人。
背景:
我是一家公司的网络工程师;为了论证起见,我们将调用我们的域thatcompany.com。
我通过Cisco ISE(只是一个花哨的 RADIUS 服务器)对一些BYOD无线服务进行了身份验证,并使用此SAN字段注 1为其配置了 90 天 Comodo 试用 SSL 证书:
DNS:radius01.thatcompany.comDNS:radius02.thatcompany.comIP:192.0.2.1 (反向映射到 radius01.thatcompany.com)IP:192.0.2.2 (反向映射到 radius02.thatcompany.com)如果生活很简单,我只会购买相应的 SSL 证书并完成它。然而...
问题是我已经为 Comodo 提供了CSR,而该CSR在 SAN 中没有 pki01.thatcompany.com。我在部署Cisco ISE服务器后决定使用本地根 CA ,我想了解是否值得联系 Comodo 让他们针对更新的CSR颁发 UC 证书。
问题:
如果我购买了前面提到的 Comodo 统一通信通配符证书,是否有充分的理由将未来的 Windows AD 本地根 CA DNS 和 IP 放在UC 证书的SAN字段中?是否还有其他原因导致我们无法重用此 Comodo UC 通配符证书来构建 Windows 本地根 CA?
笔记
注 1:Cisco 建议您将 RADIUS 服务器的显式 IP 和 DNS 名称都放在 SAN 字段中。
注2:Cisco建议你付出通配符证书(即把DNS:*.thatcompany.com该在SAN(由Aaron Woland裁判CiscoLive BRKSEC-3698视频)),因为一些EAP请求者被打破。但是,Comodo 不会颁发试用通配符证书。
重新使用我购买的任何证书将信任链回 Comodo 以获取本地 thatcompany.com Windows AD 本地根 CA,该证书尚未构建...
...我们不能重用这个 Comodo UC 通配符证书来构建 Windows 本地根 CA 是否还有其他原因?
这是不可能的 - 颁发给您的最终实体证书将包含“基本约束”属性,这将阻止它被有效地用作中间证书颁发机构。
因此,您要么需要完全本地化(创建本地根,从中为 RADIUS 颁发证书,并使所有设备信任它),要么坚持从公共证书颁发机构处购买所需的所有证书,例如科莫多。
本地 CA 也使通配符选项更加可口,因为从您自己的系统发出通配符选项之一不需要额外成本,但我想说可能会使用您的试用证书进行测试以确定您是否需要担心与损坏的 EAP 客户端。
| 归档时间: |
|
| 查看次数: |
1964 次 |
| 最近记录: |