Какое имя хоста FQDN использовать для запроса подписи сертификата SSL - при использовании записи CNAME?

У нас есть поддомен ( https://portal.company.com ), который является псевдонимом для другого имени хоста (определенного в записи CNAME).

Это динамическое DNS-имя хоста ( https://portal.dlinkddns.com ) преобразуется в публичный (динамический) IP-адрес нашего офиса. В офисе маршрутизатор настроен для переадресации порта 443 на сервер с веб-порталом Spiceworks, к которому сотрудники могут получить доступ из дома. Даже если публичный IP-адрес офиса изменится, субдомен все равно будет перенаправлять сотрудников на веб-портал. Все работает отлично, за исключением (ожидаемой) ошибки сертификата SSL, которую сотрудники видят при первом подключении к сайту.

Я только что приобрел сертификат SSL и сейчас выполняю запрос на подпись сертификата на сервере.

Что приводит меня к моему вопросу ...

Что нужно вводить при заполнении запроса на подпись сертификата для « Общего имени (например, полное доменное имя сервера или ВАШЕ имя) »?

Должен ли я ввести каноническое имя ( https://portal.dlinkddns.com ) или псевдоним ( https://portal.company.com )? Полное доменное имя самого сервера - «servername.companyname.local», поэтому я не могу его использовать.

Любые предложения или идеи будут высоко ценится!

Вы используете имя, к которому обращен сервис. Поэтому, если клиенты вашего портала посещают https://portal.dlinkddns.com , используйте portal.dlinkddns.com. И если они посещают https://portal.company.com , используйте portal.company.com.

Если ваши клиенты получат доступ к обоим, получите сертификат с одним из имен как DN, а другим как subjectAltName, так что его можно использовать для обоих.

Если я правильно читаю между строк вашего вопроса, все, что будет доступно в браузере, это https://portal.company.com , так что в вашем случае: получите сертификат на это имя.

Если у вас есть домен company.com (например), и вы хотите, чтобы общее имя сертификата «просто работало», рассмотрите возможность использования общего имени на основе подстановочного знака, например: *.company.com

Тогда сертификат SSL должен работать для https://company.com и https://www.company.com и любых поддоменов, которые вы решите использовать.

Примечание: я использовал это только в самозаверяющих сертификатах, созданных с помощью команды openssl, но это также может работать для «настоящих» сертификатов; Я не вижу причины, по которой они не будут. (Но я слышал, что при покупке сертификаты с подстановочными знаками могут стоить дороже, чем сертификаты без подстановочных знаков.)

Обидно, что команда openssl не дает эту информацию в качестве подсказки, когда она запрашивает общее имя. При самостоятельной подписи сертификатов SSL для тестовых серверов я обычно использую общее имя в формате «* .company.com».