Кажется, это должно сработать, но PKI сложен, и я хотел бы спросить людей, которые могут дать авторитетный ответ.
ЗАДНИЙ ПЛАН:
Я сетевой инженер в компании; в качестве аргумента мы назовем наш домен thatcompany.com
.
Я удостоверяю некоторые BYOD беспроводные услуги через Cisco ISE (просто причудливый сервер RADIUS) и настроил его с 90-дневным пробным SSL-сертификатом Comodo с этим SAN поле Примечание 1:
DNS:radius01.thatcompany.com
DNS:radius02.thatcompany.com
IP:192.0.2.1
(обратное отображение на radius01.thatcompany.com)IP:192.0.2.2
(обратное отображение на radius02.thatcompany.com)Если бы жизнь была простой, я бы просто купил соответствующий сертификат SSL и покончил с этим. Тем не мение...
Проблема в том, что я уже дал Comodo CSR, и это CSR не имеет pki01.thatcompany.com в сети SAN. Решение о фиксации в локальном корневом ЦС было принято после того, как я развернул Cisco ISE сервера, и я хотел бы понять, стоит ли связываться с Comodo, чтобы заставить их выдать сертификат UC для обновленного CSR.
ВОПРОС:
Если я куплю вышеупомянутый групповой сертификат Comodo Unified Communications, есть ли веские основания для размещения будущего локального корневого центра сертификации Windows AD DNS и IP в SAN поле UC Certificate? Есть ли еще какая-то причина, по которой мы не могли повторно использовать этот подстановочный сертификат Comodo UC для создания локального корневого ЦС Windows?
Ноты
Примечание 1: Cisco рекомендует указать явный IP-адрес и DNS-имя вашего RADIUS-сервера в поле SAN.
Заметка 2 : Cisco рекомендует платить за сертификат с подстановочным знаком (т.е. DNS:*.thatcompany.com
в SAN), потому что некоторые соискатели EAP не работают (см. видео CiscoLive BRKSEC-3698 Аарона Воланда). Однако Comodo не будет выпускать пробные сертификаты с подстановочными знаками.
повторно использовать любой сертификат, который я купил, чтобы связать доверие с Comodo для локального корневого CA Windows AD, который еще предстоит создать ...
... Есть ли другая причина, по которой мы не могли повторно использовать этот подстановочный сертификат Comodo UC для создания локального корневого центра сертификации Windows?
Это невозможно - выданный вам сертификат конечного объекта будет содержать свойства «Basic Constraints», которые не позволят использовать его в качестве промежуточного центра сертификации.
Таким образом, вам нужно либо перейти на полностью локальный (создать локальный корень, выпустить из него сертификат для RADIUS и заставить все устройства доверять ему), либо покупать все необходимые сертификаты у общедоступного центра сертификации, например Комодо.
Локальный ЦС также делает вариант с подстановочными знаками более приемлемым, поскольку выпуск одного из них из вашей собственной системы не требует дополнительных затрат, но я бы сказал, вероятно, протестируйте свой пробный сертификат, чтобы определить, нужно ли беспокоиться о совместимости с сломанные клиенты EAP.