이것은 학교 네트워크입니다.
공식(연결 가능한 도메인 이름 외부)은 bgschwechat.ac.at(www.bgschwechat..., mail.bgschwechat... 및 ftp.bgschwechat..)입니다.
내부적으로 Windows 도메인 이름은 bgs.ac.at입니다.
웹서버와 Exchange-Server를 위한 (아마도 저렴한) SSL 인증서가 필요합니다.
방화벽(www.bgschwechat.ac.at)(Sophos UTM9) 요청에서 가상 머신으로 NAT가 적용됩니다. 일부는 SSL이 필요합니다.
- 웹서버(CENTOS 실행 - www.bgschwechat.ac.at)
- Exchange Server(xch.bgs.ac.at)는 NAT를 통해 mail.bgschwechat.ac.at로 연결할 수 있어야 합니다.
- WSUS 서버(dc2.bgs.ac.at) - 내부 클라이언트 전용
내 질문: 예를 들어 보안을 유지하려면 어떤 종류의 SSL 인증서가 필요합니까? 두 도메인(bgschwechat.ac.at 및 bgs.ac.at)을 사용하면 NATTING 시 외부에서 보안이 유지되는 것처럼 보입니다(예: mail.bgschwechat.ac.at에서 xch.bgs.ac.at로?).
아니면 내부 도메인 이름을 공식 도메인 이름으로 바꿔야 합니까?
...그러한 인증서를 어디서 구입할 수 있는지 권장합니까?
답변1
여기서는 *.ac.at에 대한 와일드카드 인증서를 얻지 못할 것이라고 가정합니다. ;)
두 도메인 이름이 모두 포함된 인증서를다중 도메인 인증서, 귀하의 경우에는 bgs.ac.at
그리고 bgschwechat.ac.at
. 추가적으로 당신은 필요합니다와일드카드 인증서및 .*.bgs.ac.at
*.bgschwechat.ac.at
모든 이름은 다음을 사용하여 하나의 인증서에 포함될 수 있습니다.주제 대체 이름.
구성 파일을 사용하여 OpenSSL로 이러한 인증서를 생성할 수 있습니다.
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
bgschwechat.ac.at.key
생성된 기존 키를 사용하여
openssl genrsa 4096 -out bgschwechat.ac.at.key
다음을 사용합니다 bgschwechat.ac.at.cnf
.
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]
여기서는 2개의 단순 도메인 인증서와 2개의 와일드카드 비용을 지불해야 합니다. 따라서 내부적으로 사용되는 도메인 이름의 이름을 바꾸는 것(또는 HTTP를 사용하여 리디렉션하는 것)이 확실히 더 저렴합니다. 와일드카드 대신 모든 하위 도메인(mail, www 등)을 대체 도메인 목록에 추가할 수도 있습니다.
내부 도메인을 보호하지 않으려면 bgs.ac.at
이를 생략할 수 있습니다.
~에"외부에서 확인 가능한" 주소만 있습니까?: 모든 CA는 자체 규칙을 정의할 수 있습니다. CA의 경우와 마찬가지로 대부분의 경우 비용 문제입니다. 일반적으로 CA는 확인할 수 없는 주소에 대한 인증서를 발급하지 않습니다(더 많은 비용을 지불하는 경우에만). bgs.ac.at은 확인할 수 없으므로 인증서를 쉽게 얻을 수 없습니다. 내부적으로만 사용되는 경우 자체 서명된 인증서를 발급하고 이를 모든 컴퓨터에 배포할 수도 있습니다.
물건을 구입할 수 있는 장소에 대한 권장 사항은 다음과 같습니다.주제를 벗어Serverfault에서.