SSL証明書

Question

のは、私は2つのSSL証明書が必要です私はhttp://webapp.intranetservername/

経由http://webapp.mydomain.comと内部を経由して外部からアクセスされたWebアプリケーションを持っているとしましょうか？または、同じSSL証明書を使用できますか？

Answer 1

証明書機関が内部ドメインの証明書に署名することは禁止されているため、イントラネットサーバーの証明書には2つのSSL証明書が必要です（このようなドメインの所有権を確認する方法はないため） ）。

複数のドメインに対して有効な単一のSSL証明書を（Subject Alternate Name拡張子を使用して）作成することは、通常可能です。しかし、CAは、有効であると主張するすべてのドメインを検証できない限り、CAに署名することはできません。

Answer 2

SSL認証はドメイン名で動作し、2つのドメイン名があるため、2つが必要です。

両方で同じものを使用できますが、証明書が本物でないことを警告するほとんどのブラウザにエラーメッセージが表示されます。

イントラネットサイトを自己証明することによってVerisignに登録し、すべての従業員ブラウザに自己証明書を配布する必要があるため、コストがかかります。

"webapp.intranetservername"にアクセスする企業の規模とユーザー数によって、これはVerisignで両方のドメインを単純に再登録するよりも安くて簡単かもしれません。

Answer 3

原則として、webapp.mydomain.comとwebapp.intranetservernameの2つのサブジェクト代替名を持つ1つの証明書を持つことができます。実際には、これは現実的ではありません。なぜなら、適切なパブリックドメイン名でなければ、CAは.intranetservernameに何かを発行しないからです。

一般に、.intranetservernameが登録済みドメインでない場合、CAはその証明書を発行しないため、とにかく自分のCAを使用する必要があります。あなたがあなた自身のCAを信頼するように、クライアント（内部および外部）の両方のタイプを期待することができた場合は

• 、あなたはもちろん、このCAと2つのSANを持つ証明書を発行することができ

• 異なる種類のユーザー（CAのデフォルトバンドルだけを信頼する、またはCAも信頼する）が必要な場合は、2つの証明書（それぞれが発行する証明書）を使用する必要があります。 IPアドレスを別々のIPアドレスにバインドする必要があるかもしれません（しかし、LAN上の余分な内部IPアドレスの可用性は必ずしも問題ではありません）。

もっと根本的に、あなたは内部または外部にアクセスするか、二つの異なる名前で、同じマシン上で実行されている、同じWebアプリケーションを呼び出している理由は何か良い理由があるのでしょうか？なぜイントラネット内の人々はwebapp.mydomain.comと話すことができないのですか？

これは、何らかの形でセキュリティを向上させる試みかもしれませんが、同じマシンであれば、どちらのネットワークにもありますので、この名前の分離がどのようなセキュリティの改善をもたらしたか分かりません。

名前を別にしたい場合は、両方の名前を外部ドメイン（例：webapp.mydomain.comとintranet.mydomain.com）、よく知られているCAから両方の証明書が発行されています（ただし、同じマシン上で名前を分ける利点についてはまだ分かりません）。確かに、証明書の検証は名前にのみ基づいており、簡単にDNSサーバがプライベートIPアドレス（10.1.1.1）にintranet.mydomain.comを指定できるようになります。外部からの人は、ルーティングされないためそのアドレスにアクセスすることはできませんが、イントラネット内では正常に動作します（イントラネット上のマシンはDNS要求を行うことができますが、