直接存取证书

Question

我想知道是否可以对所有直接访问功能使用单一证书。

我正致力于在一个相对较小的网络上实际设置DirectAccess。由于这是一个小网络，我试图找到最低配置所必需的。

在测试环境中，我使用直接访问向导执行了快速安装，允许它自动生成自签名证书，结果是三个证书。

• CN = DirectAccess.example.org
  • 友好名称: DirectAccess-IPHTTPS
  • 用途:服务器身份验证

• CN = CN = DirectAccess-NLS.example.org
  • 友好名称: DirectAccess-NLS
  • 用途:服务器身份验证

• CN = DirectAccess-RADIUS-Encrypt-servername.example.org
  • 友好名称:远程访问RADIUS共享机密的证书
  • 目的:所有

因此，为了重申我的问题，我真的需要三个单独的证书吗？我可以用一个证书和主题替代名称来完成这个任务吗？根据我阅读的描述，NLS和IPHTTPS证书都用于HTTPS，它们似乎应该支持alt名称。

Answer 1

我使用通配符证书和不同的通配符SAN进行了这项工作，因为我的服务器的内部名称与外部DNS不同。

因此，在上面提到的情况下，cert将是*.example.org，如果它与外部*.example.local名称不同的话，它可能与服务器的内部名称相同的SAN也是真实的。

如果您使用通配符路由，请简单地知道它被认为比列出确切的FQDN更不安全。在需要遵守的情况下，它可能不会被认为是最安全的方法。