Подстановочный сертификат для локальных полномочий сертификата SSL?
Это кажется, что должно работать, но PKI является сложным, и я хотел бы спросить людей, которые могут дать авторитетный ответ.
ФОН:
Я - сетевой инженер для компании; ради аргумента мы назовем наш домен thatcompany.com.
Я аутентифицирую некоторые услуги беспроводной связи BYOD через Cisco ISE (просто необычный сервер RADIUS) и настроил ее с 90-дневным испытательным сертификатом SSL Comodo с этим Примечанием 1 поля SAN:
DNS:radius01.thatcompany.comDNS:radius02.thatcompany.comIP:192.0.2.1(обратные карты на radius01.thatcompany.com)IP:192.0.2.2(обратные карты на radius02.thatcompany.com)
Если бы жизнь была проста, то я просто купил бы соответствующий сертификат SSL и был бы сделан с ним. Однако...
- Мне нужно подстановочное Примечание 2 к сертификату; это является примерно на 50% более дорогим, чем нормальный сертификат (Comodo называет это сертификатом Объединенных коммуникаций).
- Так как мы тратим так много, мой босс хочет снова использовать независимо от того, что сертификат, который я покупаю цепочке, доверяет назад Comodo для локального Windows AD thatcompany.com локальный корневой CA, который должен все же быть создан. Возьмите имя DNS для того сервера, pki01.thatcompany.com.
Проблема, я уже дал Comodo CSR, и что CSR не имеет pki01.thatcompany.com в SAN. Решение согласиться на локальный корневой CA было принято после того, как я развернул сервер Cisco ISE, и я хотел бы понять, стоит ли связаться с Comodo, чтобы заставить их выпустить Сертификат UC против обновленного CSR.
ВОПРОС:
Если я покупаю вышеупомянутый Wildcard-сертификат Объединенных коммуникаций Comodo, есть ли какое-либо серьезное основание поместить будущий Windows AD локальный корневой CA DNS и IP в поле SAN Сертификата UC? Есть ли какая-либо другая причина, что мы не могли снова использовать этот Wildcard-сертификат Comodo UC для создания Windows локальный корневой CA?
Примечания
Примечание 1: Cisco рекомендует поместить и явный IP сервера RADIUS и имя DNS в поле SAN.
Примечание 2: Cisco рекомендует, чтобы Вы заплатили за подстановочный сертификат (т.е. поместили DNS:*.thatcompany.com в SAN), потому что некоторые суппликанты EAP повреждаются (касательно видео CiscoLive BRKSEC-3698 Aaron Woland). Однако Comodo не выпустит испытательные подстановочные сертификаты.
повторно использовать любой сертификат, который я купил, чтобы связать доверие с Comodo для локального корневого CA Windows AD, который еще не создан ...
... Есть ли другая причина, по которой мы не можем повторно использовать этот подстановочный сертификат Comodo UC для создания локального корневого центра сертификации Windows?
Это невозможно - выданный вам сертификат конечного объекта будет содержать свойства «Основные ограничения», которые предотвратят это от использования, по сути, в качестве промежуточного центра сертификации.
Таким образом, вам нужно либо перейти на полностью локальный (создать локальный корень, выпустить из него сертификат для RADIUS и заставить все устройства доверять ему) или придерживайтесь покупки всех необходимых вам сертификатов у публичного центра сертификации, такого как Comodo.
Местный центр сертификации также делает вариант с подстановочными знаками более приемлемым, поскольку выпуск одного из сертификатов из вашей собственной системы не требует дополнительных затрат, но я Я бы сказал, вероятно, протестируйте ваш пробный сертификат, чтобы определить, нужно ли вам беспокоиться о совместимости со сломанными клиентами EAP.