Я хочу знать, могу ли я использовать один сертификат для всех функций прямого доступа.
Я работаю над установкой DirectAccess в относительно небольшой сети. Поскольку это небольшая сеть, я пытаюсь найти минимально необходимую конфигурацию.
В тестовой среде я выполнил быструю установку с помощью мастера прямого доступа, который позволил ему автоматически генерировать самозаверяющие сертификаты, и в результате были получены три сертификата.
CN = DirectAccess.example.org
CN = CN = DirectAccess-NLS.example.org
CN = DirectAccess-RADIUS-Encrypt-servername.example.org
Итак, чтобы повторить свой вопрос, действительно ли мне здесь нужны 3 отдельных сертификата? Могу ли я сделать это с помощью одного сертификата и альтернативных имен субъектов? Из описаний я прочитал, что сертификаты NLS и IPHTTPS используются для HTTPS, и похоже, что они должны поддерживать альтернативные имена.
У меня была эта работа с использованием подстановочного сертификата с другим подстановочным знаком SAN, потому что внутреннее имя моих серверов отличалось от внешнего DNS.
Таким образом, в случае, упомянутом выше, сертификат будет * .example.org, возможно, с SAN * .example.local, который будет соответствовать внутреннему имени сервера, а также, если оно отличается от вашего внешнего DNS-имени.
Если вы выберете маршрут с подстановочными знаками, просто знайте, что он считается менее безопасным, чем перечисление точных полных доменных имен. В ситуациях, когда вы должны придерживаться стандартов соответствия, это может считаться не самым безопасным способом.