这看起来应该是可行的,但是PKI很复杂,我想问问能否给出权威答案的人。
背景 :
我是一家公司的networking工程师。 为了争辩,我们会打电话给我们的域名thatcompany.com 。
我通过思科ISE (仅仅是一个华丽的RADIUS服务器)对一些BYOD无线服务进行身份validation,并在此SAN域中configuration了90天的Comodo试用SSL证书注1 :
DNS:radius01.thatcompany.com DNS:radius02.thatcompany.com IP:192.0.2.1 (反向映射到radius01.thatcompany.com) IP:192.0.2.2 (反向映射到radius02.thatcompany.com) 如果生活很简单,我只需购买相应的SSL证书即可完成。 然而…
问题是我已经给了Comodo CSR ,而CSR在SAN中没有pki01.thatcompany.com。 在部署思科ISE服务器之后,决定承诺部署本地根CA,并且我想了解是否值得联系Comodo,让他们针对更新后的CSR颁发UC证书。
问题 :
如果我购买上述Comodo统一通信通配符证书,是否有任何理由将未来的Windows AD本地根CA DNS和IP放在UC证书的SAN字段? 是否有任何其他原因,我们不能重用此Comodo UC通配证书来build立一个Windows本地根CA?
笔记
注1 :思科build议您将两个RADIUS服务器的显式IP和DNS名称放在SAN字段中。
注2 :思科build议您支付通配证书( DNS:*.thatcompany.com放在SAN中 ),因为有些EAP申请者已经损坏(参考Aaron Woland的Cisco Live BRKSEC-3698video)。 但是,Comodo不会颁发试用通配证书。
重新使用我购买的任何证书,将信任链连接到Comodo,以获得本地的thatcompany.com Windows AD本地根CA,这还没有build立…
…有没有其他原因,我们不能重用此Comodo UC通配证书来build立一个Windows本地根CA?
这是不可能的 – 发给你的最终实体证书将包含“Basic Constraints”属性,这将防止它被有效地用作中间证书颁发机构。
所以,你需要充分利用本地资源(build立一个本地根,从它发放一个RADIUS证书,并让所有设备信任它),或者坚持从公共证书颁发机构购买所需的所有证书科摩多。
当地的CA使得通配符选项更加可口,因为从你自己的系统中没有额外的开销,但是我可能会用你的试用证书来testing你是否需要担心兼容性问题破碎的EAP客户。