Tên máy chủ FQDN nào được sử dụng cho yêu cầu ký chứng chỉ SSL - khi sử dụng bản ghi CNAME?

Chúng tôi có một tên miền phụ ( https://portal.company.com ) là bí danh cho một tên máy chủ khác (được xác định trong bản ghi CNAME).

Tên máy chủ DNS động này ( https://portal.dlinkddns.com ) phân giải thành địa chỉ IP công cộng (động) của văn phòng chúng tôi. Tại văn phòng, bộ định tuyến được cấu hình để chuyển tiếp cổng 443 đến máy chủ đang chạy cổng web (Spiceworks) mà nhân viên có thể truy cập từ nhà. Ngay cả khi địa chỉ IP công cộng của văn phòng thay đổi, tên miền phụ vẫn sẽ đưa nhân viên đến cổng thông tin web. Mọi thứ đều hoạt động tốt - ngoài nhân viên lỗi chứng chỉ SSL (dự kiến) sẽ thấy khi họ lần đầu kết nối với trang web.

Tôi vừa mua chứng chỉ SSL và hiện đang trong quá trình hoàn tất yêu cầu ký chứng chỉ trên máy chủ.

Dẫn tôi đến câu hỏi của tôi ...

Khi hoàn thành yêu cầu ký chứng chỉ, đối với " Tên chung (ví dụ: máy chủ FQDN hoặc tên CỦA BẠN) ", tôi nên nhập gì?

Tôi nên nhập tên chính tắc ( https://portal.dlinkddns.com ) hoặc bí danh ( https://portal.company.com )? FQDN của chính máy chủ là "servername.companyname.local" - vì vậy tôi không thể sử dụng nó.

Bất kỳ đề xuất hoặc ý tưởng sẽ được nhiều đánh giá cao!

Bạn sử dụng tên dịch vụ được truy cập là. Vì vậy, nếu khách hàng của bạn truy cập https://portal.dlinkddns.com , hãy sử dụng Portal.dlinkddns.com. Và nếu họ truy cập https://portal.company.com , hãy sử dụng cổng thông tin.company.com.

Nếu khách hàng của bạn sẽ truy cập cả hai, hãy lấy chứng chỉ với một trong các tên là DN và tên còn lại là objectAltName, vì vậy nó có thể được sử dụng cho cả hai.

Nếu tôi đang đọc chính xác giữa các dòng câu hỏi của bạn, tất cả những gì sẽ được truy cập trong trình duyệt là https://portal.company.com , vì vậy trong trường hợp của bạn: hãy lấy chứng chỉ cho tên đó.

Nếu bạn có tên miền company.com (ví dụ) và bạn muốn Tên chung của chứng chỉ "chỉ hoạt động", thì hãy xem xét sử dụng Tên chung dựa trên ký tự đại diện như sau: *.company.com

Sau đó, chứng chỉ SSL sẽ hoạt động cho https://company.com và https://www.company.com và bất kỳ tên miền phụ nào bạn chọn sử dụng.

Lưu ý: Tôi đã chỉ sử dụng điều này trong các chứng chỉ tự ký, được tạo bằng lệnh openssl, nhưng nó cũng có thể hoạt động cho các chứng chỉ "thực"; Tôi không thấy một lý do tại sao họ sẽ không. (Nhưng tôi đã nghe nói rằng chứng chỉ ký tự đại diện có thể đắt hơn chứng chỉ không phải ký tự đại diện khi mua.)

Thật xấu hổ khi lệnh openssl không cung cấp thông tin này như một gợi ý, khi nó yêu cầu Tên chung. Khi tự ký chứng chỉ SSL của mình cho các máy chủ thử nghiệm, tôi thường xuyên sử dụng Tên chung theo định dạng "* .company.com".