Esta é uma rede escolar.
Oficial (nome de domínio fora do alcance) é bgschwechat.ac.at (www.bgschwechat..., mail.bgschwechat... e ftp.bgschwechat..)
Internamente, o domínio do Windows é denominado bgs.ac.at
Precisamos de certificados SSL (possivelmente baratos) para Webserver e Exchange-Server
Do nosso firewall (www.bgschwechat.ac.at) (Sophos UTM9), as solicitações são NAT para máquinas virtuais - algumas delas precisam de SSL
- Servidor Web (executando CENTOS - www.bgschwechat.ac.at)
- O Exchange Server (denominado xch.bgs.ac.at) deve ser acessível via NAT como mail.bgschwechat.ac.at
- Servidor WSUS (dc2.bgs.ac.at) – apenas para clientes internos
Minha pergunta: que tipo de certificado SSL precisaríamos proteger, por exemplo. ambos os domínios (bgschwechat.ac.at AND bgs.ac.at) para que pareçam protegidos de fora durante o NATTING, por exemplo mail.bgschwechat.ac.at para xch.bgs.ac.at?
Ou precisamos renomear o domínio interno para o nome de domínio oficial?
...recomendações sobre onde adquirir esse certificado?
Responder1
Presumo que você não receberá um certificado curinga para *.ac.at aqui;)
Um certificado com ambos os nomes de domínio é chamado decertificado multidomínio, no seu caso bgs.ac.at
e bgschwechat.ac.at
. Além disso você precisacertificados curingaPara *.bgs.ac.at
e *.bgschwechat.ac.at
. Todos os nomes podem estar em um certificado usandoNomes alternativos de assunto.
Você pode gerar esse certificado com OpenSSL usando um arquivo de configuração:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
usando uma chave existente bgschwechat.ac.at.key
gerada por
openssl genrsa 4096 -out bgschwechat.ac.at.key
e usando o seguinte bgschwechat.ac.at.cnf
:
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]
Você tem que pagar por 2 certificados de domínio simples aqui, mais 2 curingas. Portanto, é definitivamente mais barato renomear o nome de domínio usado internamente (ou redirecioná-lo usando HTTP). Em vez dos curingas, você também pode adicionar todos os subdomínios (mail, www, etc.) à lista de domínios alternativos.
Se não quiser proteger seus domínios internos bgs.ac.at
, você pode deixar isso de fora.
sobreapenas endereços "externos resolvíveis"?: Cada CA pode definir suas próprias regras. Na maioria dos casos, é uma questão de dinheiro, como sempre acontece com as CAs. Normalmente, as CAs não emitem certificados para endereços insolúveis (somente se você pagar mais). Como bgs.ac.at não pode ser resolvido, você não obterá um certificado tão facilmente. Se for usado apenas internamente, você também poderá emitir um certificado autoassinado e implantá-lo em todos os computadores.
Recomendações sobre onde comprar algo sãofora do assuntoem Serverfault.