这似乎应该可行,但是 PKI 很复杂,我想请教可以给出权威答案的人。
背景:
我是一家公司的网络工程师;为了便于论述,我们将我们的域名称为thatcompany.com。
我验证了一些自带设备 (BYOD)无线服务思科 ISE(只是一个花哨的 RADIUS 服务器),并为其配置了 90 天的 Comodo 试用 SSL 证书存储区域网络字段注释1:
DNS:radius01.thatcompany.comDNS:radius02.thatcompany.comIP:192.0.2.1(反向映射到 radius01.thatcompany.com)IP:192.0.2.2(反向映射到 radius02.thatcompany.com)
如果生活很简单,我只需购买相应的 SSL 证书即可。然而...
- 我需要一个通配符证书注 2;它们比普通证书贵大约 50%(Comodo 称之为统一通信证书)。
- 由于我们花费太多,我的老板想重复使用我购买的任何证书,将信任链接回 Comodo,以获得本地 thatcompany.com Windows AD 本地根 CA,该 CA 尚未建立。假设该服务器的 DNS 名称为 pki01.thatcompany.com。
问题是我已经给了Comodo企业社会责任, 然后企业社会责任在 SAN 中没有 pki01.thatcompany.com。我部署了思科 ISE服务器,我想知道是否值得联系 Comodo 让他们根据更新的企业社会责任。
问题:
如果我购买上述 Comodo Unified Communications 通配符证书,是否有充分的理由将未来的 Windows AD 本地根 CA DNS 和 IP 放在存储区域网络UC 证书的字段?还有其他原因导致我们无法重复使用此 Comodo UC 通配符证书来构建 Windows 本地根 CA 吗?
笔记
注 1:Cisco 建议您将 RADIUS 服务器的显式 IP 和 DNS 名称都放在 SAN 字段中。
注 2:思科建议您购买通配符证书(即DNS:*.thatcompany.com放入存储区域网络) 因为一些 EAP 请求者被破坏(参考 Aaron Woland 的 CiscoLive BRKSEC-3698 视频)。但是,Comodo 不会颁发试用通配符证书。
答案1
重新使用我购买的任何证书将信任链接回 Comodo,以获得本地 thatcompany.com Windows AD 本地根 CA,该 CA 尚未构建...
...还有其他原因导致我们不能重用此 Comodo UC 通配符证书来构建 Windows 本地根 CA 吗?
这是不可能的 - 颁发给您的最终实体证书将包含“基本约束”属性,这将阻止它被有效地用作中间证书颁发机构。
因此,您要么需要完全本地化(创建本地根,从中为 RADIUS 颁发证书,并让所有设备信任它),要么坚持从 Comodo 等公共证书颁发机构购买所需的所有证书。
本地 CA 也使通配符选项更加可口,因为从您自己的系统颁发其中一个无需额外费用,但我建议您使用试用证书进行测试以确定您是否需要担心与损坏的 EAP 客户端的兼容性。