Kupa SSL certifikatov

Všetko o serverovom operačnom systéme Microsoft Windows Server...
Užívateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 1825
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (35)
Kontaktovať užívateľa:

Kupa SSL certifikatov

Príspevok od užívateľa zoom » Št 13. Nov, 2014, 00:25

Cest praci, chcel by som do jednej firmy kupit zopar SSL certifikatov, ale vobec do tejto problematiky nevidim, takze by som si rad nechal poradit. Certifikaty by sa pouzili na nasledovne:

1) Zabezpecenie pristupu k mailovemu serveru zvonka (IMAPS, webmail) na domene mail.firma.sk.
2) Zabezpecenie pristupu na lokalny server (resp. viac serverov), tu budu lokalne FQDN ako dc.firma.local (pristup cez RDP), appserver.firma.local (RemoteApp), atd.

Najprv som to chcel riesit Multi-Domain certifikatom, ale potom som sa niekde docital, ze v tom certe su okrem hlavnej domeny viditelne aj nazvy v tom SAN packu a ja nechcem, aby tam bolo vidno nazvy PC v domene. Ak je to pravda, riesil by som to skor dvomi certifikatmi - jeden pre mail.firma.sk (single-domain) a dalsi pre lokalne zalezitosti (multi-domain). Moje otazky su nasledovne:

1) Je nejaky problem, ked v prvom pripade nema mailserver pridelenu verejnu IP? DNS mail.firma.sk sa resolvuje na IP, co je ale router v sieti a tam su presmerovane potrebne porty na mailserver v lokalnej sieti, ktory ma len lokalnu IP (192.168.x.x).
2) Mozem do toho multi-domain certifikatu v druhom pripade dat hocijake, aj rozne pocitace (ako v uvedenom priklade)? Rozumiem spravne tomu, ze si kupim napr. takyto Comodo certifikat a ako common name mu zadam dc.firma.local a ako dalsie dva SAN bude mat napr. appserver.firma.local a karol.firma.local? Mozem takyto certifikat potom vyuzit na ten ucel, co chcem (tj. aby pri napajani cez RDP nedrzkoval na self-signed cert)?

Pripadne ak ma niekto nejake ine, lepsie riesenie problemu, tak uvitam tiez.

faugusztin
Moderátor
Moderátor
Príspevky: 15340
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: Kupa SSL certifikatov

Príspevok od užívateľa faugusztin » Št 13. Nov, 2014, 01:22

https://www.ssl2buy.com/alphassl-wildcard.php asi koniec debaty :laugh: . Jedine negativum je nizke poistenie, ale pri cene $42/rok, pripadne $180/5 rokov (tj $36/rok) je to zdaleka najlacnejsi wildcard certifikat. Idealne by ale samozrejme bolo, aby si nemal firma.local a firma.sk, ale vsetgko natlacil pod firma.sk (nemusi to ist samozrejme vsetko von do verejneho DNS).

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 13626
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: Kupa SSL certifikatov

Príspevok od užívateľa Snake » Št 13. Nov, 2014, 07:34

Rdpcko ti bude reptať vždy, nakoľko na jeho cert by si potreboval zasiahnuť do WMI storu co ti neodporucam kvôli kerberos ticketom. Na ten scenár co ty popisujes by si potreboval rd gateway s rdp brokerom ktorý by connectoval masiny ktoré by boli trustovane cez interne adcs a jeho key exchange.

Tldr - to čo chceš asi nepojde, cert dostanes, ale do storu ho das ťažko, ak das, zarabas si na kurevsky pruser aký som si vyrobil ja cca dva roky dozadu, komplet sa mi zdrbal ticketing a KDC. Sprav si inhouse CA, a nebudeš mať problém, a aj usetris
#rollerman

Užívateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 1825
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (35)
Kontaktovať užívateľa:

Re: Kupa SSL certifikatov

Príspevok od užívateľa zoom » Pi 14. Nov, 2014, 03:04

Ookej, takze si spravim jeden jednoduchy certifikat (mozno ten lacny wildcard) pre mail server, aby pekne fungovalo IMAPS a webmail a na tie interne veci sa bud vykaslem, alebo si nastudujem a spravim company-wide CA. Aspon sa nieco nove naucim.

Napísať odpoveď

Návrat na "Windows Server"