Подстановочный знак для локального центра сертификации SSL?

Question

Подстановочный знак для локального центра сертификации SSL?

Кажется, что это должно работать, но PKI сложен, и я хотел бы спросить людей, которые могут дать авторитетный ответ.

ФОН:

Я сетевой инженер для компании; ради аргумента мы назовем наш домен thatcompany.com,

Я аутентифицирую некоторые беспроводные сервисы BYOD через Cisco ISE (просто модный RADIUS-сервер) и настроил его с 90-дневным пробным сертификатом Comodo SSL с этим полем SAN. ^{Примечание 1}:

DNS:radius01.thatcompany.com
DNS:radius02.thatcompany.com
IP:192.0.2.1 (обратное отображение на radius01.thatcompany.com)
IP:192.0.2.2 (обратное отображение на radius02.thatcompany.com)

Если бы жизнь была простой, я бы просто купил соответствующий сертификат SSL и покончил бы с этим. Тем не мение...

Мне нужен сертификат подстановочного знака ^{Примечание 2}; они примерно на 50% дороже, чем обычный сертификат (Comodo называет это сертификатом Unified Communications).
Поскольку мы тратим так много, мой начальник хочет повторно использовать любой сертификат, который я куплю, чтобы вернуть доверие Comodo для локального корневого CA Windows AD ADcompany.com, который еще не создан. Предположим, что DNS-именем этого сервера является pki01.thatcompany.com.

Проблема в том, что я уже дал Comodo CSR, и у CSR нет pki01.thatcompany.com в SAN. Решение о назначении локального корневого ЦС было принято после того, как я развернул сервер Cisco ISE, и я хотел бы понять, стоит ли связываться с Comodo, чтобы заставить их выдать сертификат UC против обновленного CSR.

ВОПРОС:

Если я куплю вышеупомянутый подстановочный сертификат Comodo Unified Communications, есть ли какая-либо веская причина для размещения будущих локальных корневых CA Windows AD DNS и IP в поле SAN сертификата UC? Есть ли какая-либо другая причина, по которой мы не смогли повторно использовать этот сертификат Comodo UC Wildcard для создания локального корневого ЦС Windows?

Заметки

^{Примечание 1}: Cisco рекомендует, чтобы вы указали явный IP-адрес и DNS-имя вашего сервера RADIUS в поле SAN.

^{Примечание 2}: Cisco рекомендует оплатить сертификат подстановочного знака (т.е. поставить DNS:*.thatcompany.com в сети SAN), потому что некоторые соискатели EAP не работают (см. видео CiscoLive BRKSEC-3698 от Aaron Woland). Однако Comodo не будет выдавать пробные сертификаты с подстановочными знаками.

3

ssl certificate certificate-authority pki

Источник

Mike Pennington 08 дек '14 в 22:56

1 ответ

Решение

Другие вопросы по тегам ssl certificate certificate-authority pki

Shane Madden 08 дек '14 в 23:04 2014-12-08 23:04 · Accepted Answer · 2014-12-08 23:04

повторно используйте любой сертификат, который я покупаю, чтобы вернуть доверие Comodo для локального корневого CA Windows ADcompany.com, который еще не создан...
... Есть ли какая-либо другая причина, по которой мы не смогли повторно использовать этот сертификат Comodo UC Wildcard для создания локального корневого ЦС Windows?

Это невозможно - выданный вам сертификат конечного объекта будет содержать свойства "Основные ограничения", которые не позволят использовать его в качестве промежуточного центра сертификации.

Таким образом, вам нужно будет либо полностью перейти на локальный (создание локального рута, выдать из него сертификат для RADIUS и заставить все устройства доверять ему), либо продолжать покупать все необходимые сертификаты у публичного центра сертификации, такого как Comodo.

Локальный центр сертификации также делает вариант с подстановочными знаками более приемлемым, поскольку нет необходимости в дополнительных затратах на выпуск одного из них в вашей собственной системе, но я бы сказал, возможно, проведите тестирование с вашим пробным сертификатом, чтобы определить, нужно ли вам беспокоиться о совместимости с сломанные EAP клиенты.