Załóżmy Mam aplikacji internetowych, które jest dostępne z zewnątrz poprzez http://webapp.mydomain.com i wewnętrznie poprzez http://webapp.intranetservername/dla wewnętrznego i zewnętrznego użytku
Czy muszę dwa certyfikaty SSL? Czy można użyć tego samego certyfikatu SSL?
Potrzebne będą dwa certyfikaty SSL, a jeden dla serwera intranetowego będzie musiał być samopodpisany, ponieważ organy certyfikacji nie mogą podpisywać certyfikatów dla domen wewnętrznych (ponieważ nie ma możliwości zweryfikowania własności takiej domeny).
Zazwyczaj możliwe jest utworzenie pojedynczego certyfikatu SSL, który jest ważny dla wielu domen (przy użyciu rozszerzenia Alternatywna nazwa podmiotu). Jednak ponownie urząd certyfikacji nie może podpisać jednego, chyba że może zweryfikować wszystkie domeny, dla których twierdzi, że są one ważne.
Będziesz potrzebował dwóch, ponieważ certyfikacja SSL działa na nazwie domeny i masz tam dwie nazwy domen.
Można użyć tego samego na obu, ale w większości przeglądarek pojawiłby się komunikat o błędzie z ostrzeżeniem użytkowników, że certyfikat nie był autentyczny.
Możesz obejść koszty związane z koniecznością zarejestrowania się zarówno w firmie Verisign przez samocertyfikację strony intranetowej, jak i dystrybucji certyfikatu do wszystkich przeglądarek pracowników.
W zależności od wielkości przedsiębiorstwa i liczby użytkowników, którzy uzyskają dostęp do "webapp.intranetservername", może to być, ale nie musi, być tańsze i łatwiejsze niż po prostu odzyskanie obu domen za pomocą Verisign.
W zasadzie można mieć jeden certyfikat z dwiema alternatywnymi nazwami podmiotowymi dla webapp.mydomain.com i webapp.intranetservername. W praktyce jest to nierealne, ponieważ żaden urząd certyfikacji nie wydaje czegoś do .intranetservername, chyba że jest to również poprawna nazwa domeny publicznej.
Ogólnie rzecz biorąc, jeśli .intranetservername nie jest zarejestrowaną domeną, żaden urząd certyfikacji nie wyda dla niej certyfikatu, więc i tak będzie trzeba użyć własnego urzędu certyfikacji.
Jeśli można spodziewać się oba typy klientów (wewnętrznych i zewnętrznych), aby zaufać własnej CA, można wystawienia kursu zaświadczenie z dwóch sieci SAN z tym CA.
Jeśli planują różne rodzaje użytkowników (Jedynie wiara domyślne wiązek lub zaufanych urzędów certyfikacji swój zbyt), będziesz musiał użyć dwa certyfikaty, jeden wydany przez siebie. Konieczne może być również powiązanie ich z oddzielnymi adresami IP (ale dostępność dodatkowego wewnętrznego adresu IP w sieci LAN niekoniecznie stanowi problem).
bardziej fundamentalnym, czy jest jakiś dobry powód, dlaczego dzwonisz tę samą aplikację internetową, działa na tej samej maszynie, przez dwóch różnych nazw, czy masz do niego dostęp wewnętrznie lub zewnętrznie? Dlaczego ludzie w obrębie intranetu nie mogą rozmawiać z webapp.mydomain.com?
Przypuszczam, że może to być próba zwiększenia bezpieczeństwa, ale jeśli to ta sama maszyna, to i tak będzie w obu sieciach, więc nie jestem pewien, jakie ulepszenie bezpieczeństwa przynosi ta separacja nazw.
Jeśli naprawdę chcesz mieć oddzielne nazwy, możesz mieć je w swojej domenie zewnętrznej (np.webapp.mydomain.com i intranet.mydomain.com) i mają certyfikat wydany przez znany urząd certyfikacji dla obu (nadal nie jestem pewien co do przewagi oddzielania nazw na tym samym komputerze). Rzeczywiście, sprawdzanie poprawności certyfikatu jest oparte tylko na nazwie i łatwo można pozwolić, aby serwery DNS wskazywały intranet.mydomain.com na prywatny adres IP (na przykład 10.1.1.1). Osoby z zewnątrz nie będą miały dostępu do tego adresu, po prostu dlatego, że nie będą routowane, ale będzie działać dobrze w intranecie (pod warunkiem, że komputery w intranecie są w stanie wysyłać żądania DNS, niektóre środowiska blokują to).