我想知道是否可以使用单个证书来实现所有直接访问功能。
我正在努力在一个相对较小的网络上设置 DirectAccess。由于这是一个小型网络,我正在尝试找到所需的最低配置。
在测试环境中,我使用直接访问向导执行了快速安装,让其自动生成自签名证书,结果是三个证书。
CN = DirectAccess.example.org
- 友好名称:DirectAccess-IPHTTPS
- 目的:服务器身份验证
CN = CN = DirectAccess-NLS.example.org
- 友好名称:DirectAccess-NLS
- 目的:服务器身份验证
CN = DirectAccess-RADIUS-Encrypt-servername.example.org
- 友好名称:远程访问为 RADIUS 共享机密颁发的证书
- 用途:全部
因此,重述我的问题,我真的需要 3 个单独的证书吗?我可以使用单个证书和主题备用名称来执行此操作吗?从我读到的描述中,NLS 和 IPHTTPS 证书都用于 HTTPS,似乎它们应该支持备用名称。
答案1
我已经使用具有不同通配符 SAN 的通配符证书完成了这项工作,因为我的服务器的内部名称与外部 DNS 不同。
因此,在上述情况下,如果服务器的内部名称与外部 DNS 名称不同,则证书将是 *.example.org,并且可能带有 *.example.local 的 SAN,这也符合服务器的内部名称。
如果您选择通配符路由,请注意,它被认为比列出确切的 FQDN 更不安全。在您必须遵守合规性标准的情况下,它可能不被视为最安全的方法。