Это школа-сеть.
Официальным (вне доступного доменного имени) является bgschwechat.ac.at (www.bgschwechat ..., mail.bgschwechat ... и ftp.bgschwechat ..)
Внутренне домен Windows называется bgs.ac.at
Нам нужны (возможно, дешевые) SSL-сертификаты для веб-сервера и Exchange-сервера.
Из нашего брандмауэра (www.bgschwechat.ac.at) (Sophos UTM9) запросы передаются виртуальным машинам через NAT - некоторым из них требуется SSL
Мой вопрос: какой тип SSL-сертификата нам нужно защитить, например. оба домена (bgschwechat.ac.at И bgs.ac.at), чтобы они выглядели защищенными извне при NATTING, например mail.bgschwechat.ac.at на xch.bgs.ac.at?
Или нам нужно переименовать внутренний домен в официальное доменное имя?
... рекомендации, где купить такой сертификат?
Я предполагаю, что здесь вы не получите подстановочный сертификат для * .ac.at;)
Сертификат с обоими доменными именами называется мультидоменный сертификат, в твоем случае bgs.ac.at и bgschwechat.ac.at. Дополнительно вам понадобится подстановочные сертификаты для *bgs.ac.at и *bgschwechat.ac.at. Все имена могут быть в одном сертификате, используя Альтернативные имена субъектов.
Вы можете сгенерировать такой сертификат с OpenSSL, используя файл конфигурации:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
используя существующий ключ bgschwechat.ac.at.key создан
openssl genrsa 4096 -out bgschwechat.ac.at.key
и используя следующие bgschwechat.ac.at.cnf:
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = admin@bgschwechat.ac.at
Здесь вы должны заплатить за 2 простых сертификата домена плюс 2 подстановочных знака. Так что определенно дешевле переименовать внутреннее доменное имя (или перенаправить его с помощью HTTP). Вместо подстановочных знаков вы также можете добавить все поддомены (почту, www и т. Д.) В список альтернативных доменов.
Если вы не хотите защищать свои внутренние домены bgs.ac.at, вы можете не указывать это.
на только "внешние разрешимые" адреса?: Каждый CA может определять свои собственные правила. В большинстве случаев это вопрос денег, как и всегда с центрами сертификации. Обычно CA не выдаёт сертификаты для неразрешимых адресов (только если вы заплатите больше). Поскольку bgs.ac.at не разрешается, вы не получите сертификат так легко. Если он используется только для внутренних целей, вы также можете выпустить самозаверяющий сертификат и развернуть его на каждом компьютере.
Рекомендации, где что-то купить. не по теме на Serverfault.