Сертификаты прямого доступа
Я хочу знать, могу ли я использовать единственный сертификат для всей функциональности прямого доступа.
Я работаю при фактической установке DirectAccess в относительно небольшой сети. Так как это - небольшая сеть, я пытаюсь считать минимальную конфигурацию необходимой.
В тестовой среде я выполнил быструю установку с мастером для Прямого доступа, позволяющего ему автоматически генерировать самоподписанные сертификаты, и результатом были три сертификата.
CN = DirectAccess.example.org
- Дружественное имя: DirectAccess-IPHTTPS
- Цели: аутентификация сервера
CN = CN = DirectAccess-NLS.example.org
- Дружественное имя: DirectAccess-NLS
- Цели: аутентификация сервера
CN = DirectAccess-RADIUS-Encrypt-servername.example.org
- Дружественное Имя: Сертификат, выпущенный Удаленным доступом для RADIUS, совместно использовал секреты
- Цели: все
Таким образом для повторного заявления о моем вопросе мне действительно нужны 3 отдельных сертификата здесь? Я могу сделать это с единственным сертификатом и Подчиненными Альтернативными Именами? Из описаний я считал NLS, и сертификаты IPHTTPS оба используются для HTTPS, которые кажутся, что должны поддерживать имена высокого звука.
У меня была эта работа с использованием символа подстановки с другим символом SAN, потому что внутреннее имя моих серверов отличалось от внешнего DNS.
Таким образом, в случае, упомянутом выше, cert будет *.example.org, возможно, с SAN *.example.local, чтобы быть верным и внутреннему имени сервера, если оно отличается от вашего внешнего DNS имени.
Если вы используете шаблонный маршрут, пожалуйста, просто знайте, что он считается менее безопасным, чем перечисление точных FQDN. В ситуациях, когда у вас есть стандарты соответствия, это может считаться не самым безопасным способом.