W zasadzie można mieć jeden certyfikat z dwiema alternatywnymi nazwami podmiotowymi dla webapp.mydomain.com
i webapp.intranetservername
. W praktyce jest to nierealne, ponieważ żaden urząd certyfikacji nie wydaje czegoś do .intranetservername
, chyba że jest to również poprawna nazwa domeny publicznej.
Ogólnie rzecz biorąc, jeśli .intranetservername
nie jest zarejestrowaną domeną, żaden urząd certyfikacji nie wyda dla niej certyfikatu, więc i tak będzie trzeba użyć własnego urzędu certyfikacji.
Jeśli można spodziewać się oba typy klientów (wewnętrznych i zewnętrznych), aby zaufać własnej CA, można wystawienia kursu zaświadczenie z dwóch sieci SAN z tym CA.
Jeśli planują różne rodzaje użytkowników (Jedynie wiara domyślne wiązek lub zaufanych urzędów certyfikacji swój zbyt), będziesz musiał użyć dwa certyfikaty, jeden wydany przez siebie. Konieczne może być również powiązanie ich z oddzielnymi adresami IP (ale dostępność dodatkowego wewnętrznego adresu IP w sieci LAN niekoniecznie stanowi problem).
bardziej fundamentalnym, czy jest jakiś dobry powód, dlaczego dzwonisz tę samą aplikację internetową, działa na tej samej maszynie, przez dwóch różnych nazw, czy masz do niego dostęp wewnętrznie lub zewnętrznie? Dlaczego ludzie w obrębie intranetu nie mogą rozmawiać z webapp.mydomain.com
?
Przypuszczam, że może to być próba zwiększenia bezpieczeństwa, ale jeśli to ta sama maszyna, to i tak będzie w obu sieciach, więc nie jestem pewien, jakie ulepszenie bezpieczeństwa przynosi ta separacja nazw.
Jeśli naprawdę chcesz mieć oddzielne nazwy, możesz mieć je w swojej domenie zewnętrznej (np.webapp.mydomain.com
i intranet.mydomain.com
) i mają certyfikat wydany przez znany urząd certyfikacji dla obu (nadal nie jestem pewien co do przewagi oddzielania nazw na tym samym komputerze). Rzeczywiście, sprawdzanie poprawności certyfikatu jest oparte tylko na nazwie i łatwo można pozwolić, aby serwery DNS wskazywały intranet.mydomain.com
na prywatny adres IP (na przykład 10.1.1.1
). Osoby z zewnątrz nie będą miały dostępu do tego adresu, po prostu dlatego, że nie będą routowane, ale będzie działać dobrze w intranecie (pod warunkiem, że komputery w intranecie są w stanie wysyłać żądania DNS, niektóre środowiska blokują to).