这是一个学校网络。
官方(外部可访问域名)是 bgschwechat.ac.at(www.bgschwechat...、mail.bgschwechat... 和 ftp.bgschwechat...)
在内部,windows 域被命名为 bgs.ac.at
我们需要(可能很便宜)用于 Webserver 和 Exchange-Server 的 SSL 证书
从我们的防火墙 (www.bgschwechat.ac.at) (Sophos UTM9) 请求被 NAT 转换到虚拟机 - 其中一些需要 SSL
我的问题:我们需要保护什么样的 SSL 证书,例如。两个域(bgschwechat.ac.at 和 bgs.ac.at),以便它们在 NATTING 时从外部看起来是安全的,例如 mail.bgschwechat.ac.at 到 xch.bgs.ac.at ?
还是需要将内部域名重命名为官方域名?
...建议在哪里购买此类证书?
我假设您不会在此处获得 *.ac.at 的通配符证书;)
具有两个域名的证书称为multidomain-certificate,在您的情况下bgs.ac.at,bgschwechat.ac.at. 此外,您需要通配符证书的*.bgs.ac.at和*.bgschwechat.ac.at。所有名称都可以使用Subject Alternative Names在一个证书中。
您可以使用配置文件使用 OpenSSL 生成此类证书:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
使用bgschwechat.ac.at.key由生成的现有密钥
openssl genrsa 4096 -out bgschwechat.ac.at.key
并使用以下内容bgschwechat.ac.at.cnf:
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = admin@bgschwechat.ac.at
您必须在此处支付 2 个简单的域证书以及 2 个通配符。因此,重命名内部使用的域名(或使用 HTTP 重定向)肯定会更便宜。除了通配符之外,您还可以将所有子域(邮件、www 等)添加到备用域列表中。
如果您不想保护您的内部域bgs.ac.at,您可以忽略它。
上唯一的“外解析”地址?: 每个 CA 都可以定义自己的规则。在大多数情况下,这是一个钱的问题,就像 CA 一样。通常 CA 不会为无法解析的地址颁发证书(仅当您支付更多费用时)。由于 bgs.ac.at 不可解析,您不会那么容易获得证书。如果仅在内部使用,您还可以颁发自签名证书并将其部署在每台计算机上。
在哪里买东西的建议是题外话上Serverfault。
| 归档时间: |
|
| 查看次数: |
2280 次 |
| 最近记录: |