我有运行 Windows 机器的服务,用户可以通过 http 从我们的网络内部和互联网访问该服务。他们既可以通过浏览器访问该服务,也可以使用桌面工具访问该服务
该盒子的 FQDN 是somebox.ourdomain.com。
我们正在使用 DYNDNS,以便外部请求http://theservice.otherdomain.com获取我们的公共 IP。外部用户通过访问http://theservice.otherdomain:8080,我们的路由器转发到somebox.ourdomain.com:80
运行良好。但现在我们想使用 SSL。
我有点困惑,我应该使用的 CN 是主机本身的 FQDN(somebox.ourdomain.com)还是 DNS 条目的 FQDN(theservice.otherdomain.com)。我怀疑不是后者,因为这会破坏所有内部人员的体验。
有人可以确认一下吗?在这种情况下,在花几百美元购买 CA 签名证书之前,是否值得先使用自签名证书来确保我拥有正确的 CSR 值?
答案1
证书的 CN 必须是您的客户端用来访问服务的完全限定域名。例如,如果我bankaccounts.hugebank.com从我的 PC 访问,则会为 颁发证书bankaccounts.hugebank.com。更具体地说,证书的主题将是CN=bankaccounts.hugebank.com, O=BigBank Inc, L=Detroit, S=Michigan, C=US,即使网站本身很可能不托管在实际主机名是 bankaccounts 的单个机器上。