Kupa SSL certifikatov

[zoom]

Cest praci, chcel by som do jednej firmy kupit zopar SSL certifikatov, ale vobec do tejto problematiky nevidim, takze by som si rad nechal poradit. Certifikaty by sa pouzili na nasledovne:

1) Zabezpecenie pristupu k mailovemu serveru zvonka (IMAPS, webmail) na domene mail.firma.sk.
2) Zabezpecenie pristupu na lokalny server (resp. viac serverov), tu budu lokalne FQDN ako dc.firma.local (pristup cez RDP), appserver.firma.local (RemoteApp), atd.

Najprv som to chcel riesit Multi-Domain certifikatom, ale potom som sa niekde docital, ze v tom certe su okrem hlavnej domeny viditelne aj nazvy v tom SAN packu a ja nechcem, aby tam bolo vidno nazvy PC v domene. Ak je to pravda, riesil by som to skor dvomi certifikatmi - jeden pre mail.firma.sk (single-domain) a dalsi pre lokalne zalezitosti (multi-domain). Moje otazky su nasledovne:

1) Je nejaky problem, ked v prvom pripade nema mailserver pridelenu verejnu IP? DNS mail.firma.sk sa resolvuje na IP, co je ale router v sieti a tam su presmerovane potrebne porty na mailserver v lokalnej sieti, ktory ma len lokalnu IP (192.168.x.x).
2) Mozem do toho multi-domain certifikatu v druhom pripade dat hocijake, aj rozne pocitace (ako v uvedenom priklade)? Rozumiem spravne tomu, ze si kupim napr. takyto Comodo certifikat a ako common name mu zadam dc.firma.local a ako dalsie dva SAN bude mat napr. appserver.firma.local a karol.firma.local? Mozem takyto certifikat potom vyuzit na ten ucel, co chcem (tj. aby pri napajani cez RDP nedrzkoval na self-signed cert)?

Pripadne ak ma niekto nejake ine, lepsie riesenie problemu, tak uvitam tiez.

[faugusztin]

https://www.ssl2buy.com/alphassl-wildcard.php asi koniec debaty . Jedine negativum je nizke poistenie, ale pri cene $42/rok, pripadne $180/5 rokov (tj $36/rok) je to zdaleka najlacnejsi wildcard certifikat. Idealne by ale samozrejme bolo, aby si nemal firma.local a firma.sk, ale vsetgko natlacil pod firma.sk (nemusi to ist samozrejme vsetko von do verejneho DNS).

[Snake]

Rdpcko ti bude reptať vždy, nakoľko na jeho cert by si potreboval zasiahnuť do WMI storu co ti neodporucam kvôli kerberos ticketom. Na ten scenár co ty popisujes by si potreboval rd gateway s rdp brokerom ktorý by connectoval masiny ktoré by boli trustovane cez interne adcs a jeho key exchange.

Tldr - to čo chceš asi nepojde, cert dostanes, ale do storu ho das ťažko, ak das, zarabas si na kurevsky pruser aký som si vyrobil ja cca dva roky dozadu, komplet sa mi zdrbal ticketing a KDC. Sprav si inhouse CA, a nebudeš mať problém, a aj usetris

[zoom]

Ookej, takze si spravim jeden jednoduchy certifikat (mozno ten lacny wildcard) pre mail server, aby pekne fungovalo IMAPS a webmail a na tie interne veci sa bud vykaslem, alebo si nastudujem a spravim company-wide CA. Aspon sa nieco nove naucim.