我有服务运行一个Windows框,用户通过http访问我们的networking和互联网。 他们通过浏览器和桌面工具访问这项服务
该框的FQDN是somebox.ourdomain.com 。
我们使用DYNDNS,以便http://theservice.otherdomain.com的外部请求获得我们的公共IP。 外部用户通过访问http://theservice.otherdomain:8080访问服务,我们的路由器转发到somebox.ourdomain.com:80
工作正常。 但是现在我们想要使用SSL。
我有点困惑,我应该使用的CN是主机本身(somebox.ourdomain.com)的FQDN还是DNS条目(theservice.otherdomain.com)的FQDN。 我怀疑这不是后者,因为这将打破所有的内部人。
有人可以确认吗? 这是一个情况下,值得玩一个自我签名的证书,以确保我有适当的CSR值之前,我在CA签署的证书上放了几百美元?
证书的CN必须是客户用来访问服务的完全合格的域名。 例如,如果我从我的个人电脑上访问bankaccounts.hugebank.com ,将会有一个为bankaccounts.hugebank.com发行的证书。 更具体地说,证书的主题就像CN=bankaccounts.hugebank.com, O=BigBank Inc, L=Detroit, S=Michigan, C=US ,尽pipe网站本身最有可能不是托pipe在一个单一的机器的真实主机名为bankaccounts。