Dies ist ein Schulnetzwerk.
Offiziell (von außen erreichbarer Domänenname) ist bgschwechat.ac.at (www.bgschwechat..., mail.bgschwechat... und ftp.bgschwechat..)
Intern heißt die Windows-Domäne bgs.ac.at
Wir benötigen (möglichst günstige) SSL-Zertifikate für Webserver und Exchange-Server
Von unserer Firewall (www.bgschwechat.ac.at) (Sophos UTM9) werden Anfragen per NAT an virtuelle Maschinen weitergeleitet - einige davon benötigen SSL
- Webserver (unter CENTOS - www.bgschwechat.ac.at)
- Der Exchange Server (mit dem Namen xch.bgs.ac.at) sollte über NAT als mail.bgschwechat.ac.at erreichbar sein.
- WSUS Server (dc2.bgs.ac.at) - nur für interne Clients
Meine Frage: Welche Art von SSL-Zertifikat bräuchten wir, um beispielsweise beide Domänen (bgschwechat.ac.at UND bgs.ac.at) zu sichern, damit sie beim NATTING von beispielsweise mail.bgschwechat.ac.at zu xch.bgs.ac.at von außen sicher erscheinen?
Oder müssen wir die interne Domäne in den offiziellen Domänennamen umbenennen?
... Empfehlungen, wo man ein solches Zertifikat erwerben kann?
Antwort1
Ich gehe davon aus, dass du hier kein Wildcard-Zertifikat für *.ac.at bekommst ;)
Ein Zertifikat mit beiden Domänennamen heißtMultidomain-Zertifikat, in Ihrem Fall bgs.ac.atund bgschwechat.ac.at. Zusätzlich benötigen SieWildcard-Zertifikatefür *.bgs.ac.atund *.bgschwechat.ac.at. Alle Namen können in einem Zertifikat enthalten sein, indemAlternative Betreffnamen.
Sie können ein solches Zertifikat mit OpenSSL mithilfe einer Konfigurationsdatei generieren:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
unter Verwendung eines vorhandenen Schlüssels, bgschwechat.ac.at.keygeneriert von
openssl genrsa 4096 -out bgschwechat.ac.at.key
und verwenden Sie Folgendes bgschwechat.ac.at.cnf:
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]
Hier muss man für 2 einfache Domain-Zertifikate bezahlen, plus 2 Wildcards. Es ist also auf jeden Fall günstiger, den intern verwendeten Domain-Namen umzubenennen (oder per HTTP umzuleiten). Statt der Wildcards kann man auch alle Subdomains (Mail, WWW, etc.) zur Liste der alternativen Domains hinzufügen.
Wenn Sie Ihre internen Domänen nicht sichern möchten bgs.ac.at, können Sie dies weglassen.
Annur „außerhalb auflösbare“ Adressen?: Jede CA kann ihre eigenen Regeln festlegen. In den meisten Fällen ist es eine Frage des Geldes, wie immer bei CAs. Normalerweise stellen CAs keine Zertifikate für nicht auflösbare Adressen aus (nur wenn Sie mehr bezahlen). Da bgs.ac.at nicht auflösbar ist, erhalten Sie nicht so einfach ein Zertifikat. Wenn es nur intern verwendet wird, können Sie auch ein selbstsigniertes Zertifikat ausstellen und dieses auf jedem Computer bereitstellen.
Empfehlungen, wo man etwas kaufen kann, sindnicht zum Themabei Serverfehler.