Это школьная сеть.
Официальное (внешне доступное доменное имя) — bgschwechat.ac.at (www.bgschwechat..., mail.bgschwechat... и ftp.bgschwechat..)
Внутренне домен Windows называется bgs.ac.at.
Нам нужны (возможно дешевые) SSL-сертификаты для веб-сервера и Exchange-сервера.
Из нашего брандмауэра (www.bgschwechat.ac.at) (Sophos UTM9) запросы транслируются на виртуальные машины с помощью NAT - некоторым из них требуется SSL
- Веб-сервер (работает под управлением CENTOS - www.bgschwechat.ac.at)
- Сервер Exchange (с именем xch.bgs.ac.at) должен быть доступен через NAT как mail.bgschwechat.ac.at
- Сервер WSUS (dc2.bgs.ac.at) — только для внутренних клиентов
Мой вопрос: какой тип SSL-сертификата нам понадобится для защиты, например, обоих доменов (bgschwechat.ac.at и bgs.ac.at), чтобы они выглядели защищенными извне при NATT-трансляции, например, mail.bgschwechat.ac.at в xch.bgs.ac.at?
Или нам нужно переименовать внутренний домен в официальное доменное имя?
...рекомендации, где приобрести такой сертификат?
решение1
Я предполагаю, что вы не получите здесь wildcard-сертификат для *.ac.at ;)
Сертификат с обоими доменными именами называетсямногодоменный-сертификат, в вашем случае bgs.ac.atи bgschwechat.ac.at. Дополнительно вам нужносертификаты wildcardдля *.bgs.ac.atи *.bgschwechat.ac.at. Все имена могут быть в одном сертификате с использованиемАльтернативные названия предметов.
Вы можете создать такой сертификат с помощью OpenSSL, используя файл конфигурации:
openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf
используя существующий ключ, bgschwechat.ac.at.keyсгенерированный
openssl genrsa 4096 -out bgschwechat.ac.at.key
и используя следующее bgschwechat.ac.at.cnf:
[req]
distinguished_name = req_distinguished_name
default_bits = 4096
req_extensions = v3_req
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]
Здесь вам придется заплатить за 2 простых доменных сертификата, плюс 2 wildcards. Так что определенно дешевле переименовать внутреннее доменное имя (или перенаправить его с помощью HTTP). Вместо wildcards вы также можете добавить все поддомены (mail, www и т. д.) в список альтернативных доменов.
Если вы не хотите защищать свои внутренние домены bgs.ac.at, вы можете пропустить этот параметр.
натолько «внешне разрешимые» адреса?: Каждый CA может определять свои правила. В большинстве случаев это вопрос денег, как и всегда с CA. Обычно CA не выдают сертификаты для неразрешимых адресов (только если вы заплатите больше). Поскольку bgs.ac.at неразрешим, вы не получите сертификат так просто. Если он используется только внутри компании, вы также можете выпустить самоподписанный сертификат и развернуть его на каждом компьютере.
Рекомендации о том, где что-то купить,не по темена Serverfault.