Ssl

本地 SSL 證書頒發機構的萬用字元證書?

  • December 9, 2014

這似乎應該可以,但是PKI很複雜,我想請教能給出權威答案的人。

背景

我是一家公司的網路工程師;為了論證,我們將呼叫我們的 domain thatcompany.com

我通過Cisco ISE (只是一個花哨的 RADIUS 伺服器)驗證了一些BYOD無線服務,並使用 90 天 Comodo 試用 SSL 證書對其進行了配置,並帶有此SAN欄位注 1:

  • DNS:radius01.thatcompany.com
  • DNS:radius02.thatcompany.com
  • IP:192.0.2.1(反向映射到 radius01.thatcompany.com)
  • IP:192.0.2.2(反向映射到 radius02.thatcompany.com)

如果生活很簡單,我會購買相應的 SSL 證書並完成它。然而…

  • 我需要萬用字元證書注 2;這些證書比普通證書貴大約 50%(Comodo 稱之為統一通信證書)。
  • 由於我們花了這麼多錢,我的老闆想重新使用我購買的任何證書,以將信任鏈回 Comodo,以獲得尚未建構的本地 thatcompany.com Windows AD 本地根 CA。假設該伺服器的 DNS 名稱是 pki01.thatcompany.com。

問題是我已經為 Comodo 提供了CSR,並且CSR在 SAN 中沒有 pki01.thatcompany.com 。在我部署Cisco ISE伺服器後做出了送出本地根 CA 的決定,我想了解是否值得聯繫 Comodo 讓他們針對更新的CSR頒發 UC 證書。

問題

如果我購買了前面提到的 Comodo Unified Communications 萬用字元證書,是否有充分的理由將未來的 Windows AD 本地根 CA DNS 和 IP 放在UC 證書的SAN欄位中?是否還有其他原因導致我們無法重用此 Comodo UC 萬用字元證書來建構 Windows 本地根 CA?


筆記

注意 1:Cisco 建議您將 RADIUS 伺服器的顯式 IP 和 DNS 名稱都放在 SAN 欄位中。

注意 2:思科建議您支付萬用字元證書(即放入DNS:*.thatcompany.comSAN ,因為某些 EAP 請求者已損壞(參考 Aaron Woland 的 CiscoLive BRKSEC-3698 影片)。但是,Comodo 不會頒發試用萬用字元證書。

重新使用我購買的任何證書將信任連結回 Comodo,以獲得本地 thatcompany.com Windows AD 本地根 CA,尚未建構…

… 是否還有其他原因導致我們無法重用此 Comodo UC 萬用字元證書來建構 Windows 本地根 CA?

這是不可能的 - 頒發給您的最終實體證書將包含“基本約束”屬性,這些屬性將阻止它有效地用作中間證書頒發機構。

因此,您要麼需要完全使用本地(創建本地根,從中為 RADIUS 頒發證書,並讓所有設備都信任它),要麼堅持從公共證書頒發機構購買所需的所有證書,例如科莫多。

本地 CA 也使萬用字元選項更受歡迎,因為從您自己的系統中發布其中一個不需要額外費用,但我想說可能使用您的試用證書進行測試以確定您是否需要擔心與損壞的 EAP 客戶端。

引用自:https://serverfault.com/questions/650119