Назад | Перейти на главную страницу

Проблема с сертификатом безопасности с DNS-псевдонимом для RDP

Интересно, может ли кто-нибудь мне помочь - я полный новичок, когда дело доходит до администрирования серверов, поэтому извиняюсь, если я упускаю что-то очевидное ...

Мы выбрали соглашение об именах, в котором используются элементы из периодической таблицы (с хостами виртуальных машин в качестве молекул).

Пока это нормально, но мне не нравится набирать «Unununium» или «Ununnulium», когда у нас так много серверов. Итак ... я добавил несколько записей DNS для химических символов (He-> Helium, Li-> Lithium и т. Д.)

Когда я пытаюсь подключиться к серверам по протоколу RDP с использованием псевдонима DNS, я получаю предупреждение о сертификате, поскольку (очевидно) имя, к которому я подключаюсь, не совпадает с рассматриваемым сервером.

Хотя это только раздражает RDP, я предполагаю, что это может иметь последствия, если я использую сокращенные имена для других целей.

Итак, мой вопрос: возможно ли, чтобы сервер, к которому я подключаюсь, использовал сертификат, который охватывает оба? или иметь 2 сертификата рядом и автоматически выбрать правильный?

Как я уже сказал, я новичок в этом, поэтому мне немного неясно, какие варианты доступны для меня, и был бы признателен, если бы кто-то указал мне в правильном направлении для некоторой полезной документации / руководств.

Большое спасибо за любую помощь, которую вы можете предоставить

Я должен был упомянуть, что рассматриваемые серверы работают под управлением Windows Server 2008 Enterprise, и все клиенты будут либо одинаковыми, либо Windows 7.

Вы можете сгенерировать сертификаты, подходящие для нескольких DNS-имен, используя свойство Subject Alternative Name. Это не так просто, как единый сертификат с подстановочными знаками для всех ваших машин, но это намного безопаснее. Вот статья из DigiCert об альтернативных именах субъектов и их использовании.

По сути, вы создаете сертификат для каждого сервера, который содержит записи SAN для каждого имени DNS, с которым вы, вероятно, получите к нему доступ.

Я считаю, что SSL-сертификат с подстановочными знаками поможет.