У нас есть поддомен (https://portal.company.com), который является псевдонимом для другого имени хоста (определенного в записи CNAME).
Это динамическое имя хоста DNS (https://portal.dlinkddns.com) преобразуется в публичный (динамический) IP-адрес нашего офиса. В офисе маршрутизатор настроен на переадресацию порта 443 на сервер, на котором работает веб-портал (Spiceworks), к которому сотрудники могут получить доступ из дома. Даже если публичный IP-адрес офиса изменится, поддомен по-прежнему будет направлять сотрудников на веб-портал. Все работает отлично, кроме (ожидаемой) ошибки сертификата SSL, которую сотрудники видят при первом подключении к сайту.
Я только что купил сертификат SSL и сейчас выполняю запрос на подпись сертификата на сервере.
Это подводит меня к моему вопросу ...
При заполнении запроса на подпись сертификата для "Общее имя (например, полное доменное имя сервера или ВАШЕ имя)", что мне ввести?
Следует ли вводить каноническое имя (https://portal.dlinkddns.com) или псевдоним (https://portal.company.com)? Полное доменное имя самого сервера - «servername.companyname.local», поэтому я не могу его использовать.
Будем очень признательны за любые предложения или идеи!
Вы используете имя, под которым осуществляется доступ к службе. Итак, если клиенты вашего портала посещают https://portal.dlinkddns.comиспользуйте portal.dlinkddns.com. И если они посетят https://portal.company.comиспользуйте portal.company.com.
Если ваши клиенты будут иметь доступ к обоим, получите сертификат с одним из имен как DN, а другое как subjectAltName, чтобы его можно было использовать для обоих.
Если я правильно читаю между строк вашего вопроса, все, что будет доступно в браузере, это https://portal.company.com, так что в вашем случае: получите сертификат на это имя.
Если у вас есть домен company.com (например) и вы хотите, чтобы общее имя сертификата «просто работало», рассмотрите возможность использования общего имени на основе подстановочных знаков, например: *.company.com
Тогда сертификат SSL должен работать для https://company.com и https://www.company.com и любые поддомены, которые вы решите использовать.
Примечание: я использовал это только в самозаверяющих сертификатах, созданных с помощью команды openssl, но он также может работать для «настоящих» сертификатов; Я не вижу причины, почему бы им этого не сделать. (Но я слышал, что сертификаты с подстановочными знаками могут быть дороже, чем сертификаты без подстановочных знаков, при покупке.)
Жаль, что команда openssl не дает эту информацию в качестве подсказки, когда запрашивает общее имя. При самостоятельной подписи сертификатов SSL для тестовых серверов я обычно использую общее имя в формате «* .company.com».