这是一个学校networking。
官方(外部可达域名)是bgschwechat.ac.at(www.bgschwechat …,mail.bgschwechat …和ftp.bgschwechat ..)
内部的Windows域被命名为bgs.ac.at
我们需要(可能便宜的)Web服务器和Exchange服务器的SSL证书
从我们的防火墙(www.bgschwechat.ac.at)(Sophos UTM9)请求获得NAT到虚拟机 – 其中一些需要SSL
我的问题:我们需要什么样的SSL证书来保证安全。 这两个域(bgschwechat.ac.at和bgs.ac.at),以便当NATTING例如mail.bgschwechat.ac.at到xch.bgs.ac.at时它们看起来像外部的安全?
或者我们需要将内部域名重命名为官方域名?
…build议在哪里购买这样的证书?
我假设你不会在这里获得* .ac.at的通配符证书;)
有两个域名的证书被称为多域名证书 ,在你的情况bgs.ac.at
和bgschwechat.ac.at
。 另外,您需要*bgs.ac.at
和*bgschwechat.ac.at
通配符证书 。 所有名称都可以使用主题备用名称在一个证书中。
您可以使用configuration文件来使用OpenSSL生成这样的证书:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
使用生成的现有密钥bgschwechat.ac.at.key
openssl genrsa 4096 -out bgschwechat.ac.at.key
并使用以下bgschwechat.ac.at.cnf
:
[req] distinguished_name = req_distinguished_name default_bits = 4096 req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = bgschwechat.ac.at DNS.2 = *.bgschwechat.ac.at DNS.3 = bgs.ac.at DNS.4 = *.bgs.ac.at [ req_distinguished_name ] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) organizationalUnitName = Organizational Unit Name (eg, section) countryName_default = AT stateOrProvinceName_default = Niederoesterreich localityName_default = Schwechat organizationalUnitName_default = BG Schwechat commonName = Common Name (CN) commonName_default = bgschwechat.ac.at emailAddress_default = [email protected]
你必须在这里支付2个简单的域名证书,加上2个通配符。 因此,重命名内部使用的域名(或使用HTTPredirect)肯定会更便宜。 您也可以将所有子域(邮件,www等)添加到备用域列表中,而不是通配符。
如果你不想保护你的内部域名bgs.ac.at
,你可以不bgs.ac.at
。
只有“外部可parsing的”地址? :每个CA都可以定义它自己的规则。 在大多数情况下,这是一个金钱的问题,就像总是与CA一样。 通常CA不会为无法parsing的地址颁发证书(只有当您支付更多费用时)。 由于bgs.ac.at不可parsing,您不会轻易获得证书。 如果仅在内部使用,则还可以发出自签名证书并在每台计算机上部署该证书。
关于何处购买东西的build议在Serverfault上是无关紧要的。