文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >哪个SSL证书将支持外部和内部域名?

哪个SSL证书将支持外部和内部域名?
EN

Server Fault用户
提问于 2015-02-28 09:29:03
回答 1查看 2.8K关注 0票数 1

这是一个学校网络。

bgschwechat.ac.at (www.bgschwechat.,mail.bgschwechat.和ftp.bgschwechat.)

在内部,windows域名为bgs.ac.at。

我们需要(可能是便宜的) We服务器和Exchange-Server的SSL证书。

从我们的防火墙(www.bgschwechat.ac.at) (Sophos UTM9)请求获取NATed到虚拟机,其中一些需要SSL。

  • Webserver服务器(运行CENTOS - www.bgschwechat.ac.at)
  • 交换服务器(命名为xch.bgs.ac.at)可以通过NAT作为mail.bgschwechat.ac.at访问
  • WSUS (dc2.bgs.ac.at) -仅适用于内部客户端

我的问题是:我们需要什么样的SSL证书才能获得例如。这两个域(bgschwechat.ac.at和bgs.ac.at)都是为了使它们在交换时看起来是安全的,例如mail.bgschwechat.ac.at到xch.bgs.ac.at?

还是需要将内部域名重命名为官方域名?

...recommandations在哪里购买这样的证书?

ssl
exchange
nat
EN

回答 1

Server Fault用户

回答已采纳

发布于 2015-02-28 10:12:32

我假设您不会在这里获得*.ac.at的通配符证书;)

同时具有两个域名的证书称为多域证书,在您的例子中是bgs.ac.atbgschwechat.ac.at。此外,您还需要*.bgs.ac.at*.bgschwechat.ac.at的通配符证书。所有的名称都可以在一个证书中使用主题替代名称。

您可以使用配置文件使用OpenSSL生成这样的证书:

代码语言:javascript
复制
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

生成的现有密钥bgschwechat.ac.at.key

代码语言:javascript
复制
openssl genrsa 4096 -out bgschwechat.ac.at.key

并使用以下bgschwechat.ac.at.cnf

代码语言:javascript
复制
[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = admin@bgschwechat.ac.at

您必须在这里支付2个简单的域证书,外加2个通配符。因此,重命名内部使用的域名(或使用HTTP重定向)肯定更便宜。您也可以添加所有子域(邮件、www等),而不是通配符。到替代域列表中。

如果您不想保护您的内部域bgs.ac.at,您可以忽略这一点。

仅在“外部可解析”地址上?:每个CA都可以定义自己的规则。在大多数情况下,这是一个钱的问题,就像CA一样。通常CA不会为无法解析的地址颁发证书(除非您支付更多的费用)。由于bgs.ac.at是不可解析的,所以您不会那么容易地获得证书。如果它仅在内部使用,则还可以发出自签名证书,并将其部署到每台计算机上。

关于在哪里买东西的建议是服务器故障上的离题

票数 5
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/672072

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档