- Что такое san-сертификат и как его создавать с помощью openssl
- Дополнительная гарантия или излишняя трата средств?
- Имена доменов в сертификатах
- Логика сопоставления имен для функции безопасности домена
- Рекомендации по доменным именам для smtp-серверов в интернете
- Рекомендации по доменным именам для сервера клиентского доступа
- Доменные имена с подстановочными знаками
- Имена субъектов и имена доменов
- Имя субъекта
- Реализация относительных различающихся имен
- Как прописать порядок и сроки обеспечения
- Клонирование существующего сертификата
- Общие сведения о полях, используемых сертификатами для служб tls
- Имя субъекта
- Реализация относительных различающихся имен
- Международные имена субъектов
- Имена субъектов и имена доменов
- Имена доменов в сертификатах
- Логика сопоставления имен для функции безопасности домена
- Рекомендации по доменным именам для smtp-серверов в интернете
- Рекомендации по доменным именам для сервера клиентского доступа
- Доменные имена с подстановочными знаками
Что такое san-сертификат и как его создавать с помощью openssl
Сократить расходы на SSL за счет использования единого сертификата для нескольких веб-сайтов? Это возможно с использованием сертификата SAN!
SAN (Subject Alternative Names) означает «Альтернативные имена субъектов», и это то, что поможет вам иметь всего один сертификат для нескольких веб-ресурсов.
Например, в этих URL-адресах:
Geekflare.com
Bestflare.com
Usefulread.com
Chandank.com
используется всего один сертификат. И их количество для одного сертификата может быть гораздо больше.
Создание CSR для SAN немного отличается от традиционной команды OpenSSL.
Давайте посмотрим на пример skype.сom, который имеет много SAN в одном сертификате:
Как вы можете видеть на этом примере – если вы управляете несколькими URL-адресами https, вы можете совершить их консолидацию в единый сертификат SSL с SAN – и сэкономить!
Процедура создания CSR с SAN
– Войдите в сервер, на котором установлен OpenSSL.
– Перейдите в / tmp или создайте любую директорию.
– Создайте файл с именем san.cnf, используя vi (если в Unix) со следующей информацией:
[ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) organizationName = Organization Name (eg, company) commonName = Common Name (e.g. server FQDN or YOUR name) [ req_ext ] subjectAltName = @alt_names [alt_names] DNS.1 = bestflare.com DNS.2 = usefulread.com DNS.3 = chandank.com
Примечание: раздел alt_names – это тот, который вы должны изменить для дополнительного DNS.
-Сохраните файл и выполните следующую команду OpenSSL, которая будет генерировать файлы CSR и KEY:
openssl req -out sslcert.csr -newkey rsa:2048 -nodes -keyout private.key -config san.cnf
Это создаст sslcert.csr и private.key в текущем рабочем каталоге. Вы должны отправить sslcert.csr подписывающему центру сертифицикации, чтобы он мог предоставить вам сертификат с SAN.
Как проверить CSR для SAN?
Чтобы проверить, содержит ли ваш CSR SAN, который вы указали выше в файле san.cnf:
openssl req -noout -text -in sslcert.csr | grep DNS
Пример:
[root@Chandan test]# openssl req -noout -text -in sslcert.csr | grep DNS
DNS:bestflare.com, DNS:usefulread.com, DNS:chandank.com
[root@Chandan test]#Вы также можете использовать онлайн-инструменты для проверки SAN и других параметров.
Дополнительная гарантия или излишняя трата средств?
На вопросы потребителей отвечает начальник отдела защиты прав потребителей Г.Г.Гришина
Вопрос: В магазине при покупке телевизора за отдельную плату мне предложили воспользоваться программой дополнительного сервиса. Сказали, что без приобретения этого сертификата у меня снижается срок гарантийного обслуживания. Законно ли это?
Ответ: В целях предотвращения нарушений в сфере защиты прав потребителей и повышения ответственности граждан при совершении покупки, обращаем внимание потребителей на сертификаты дополнительного сервиса (ПДС — программа дополнительного сервиса), реализуемые в розничной сети при продаже технически сложного товара бытового назначения.
Сообщаем, что в обязанности продавца изначально входит:
– консультация по применению товара, согласно п. 49 Правил продажи отдельных видов товаров, утвержденных Постановлением Правительства от 19.12.1998 года № 55 входит в обязанность продавца;
– диагностика товара, проводимая с целью выявления или подтверждения наличия недостатков в товаре, может быть проведена за счет потребителя только в том случае, если не установлен или истек гарантийный срок;
– ремонт и замена на товар этой же модели являются для продавца безвозмездной обязанностью, согласно части 1 статьи 19 Закона потребитель вправе предъявить предусмотренные статьей 18 Закона РФ «О защите прав потребителей» требования к продавцу в отношении недостатков товара, если они обнаружены в течение гарантийного срока.
Таким образом, содержащиеся в сертификате дополнительного сервиса возмездные обязательства продавца услуг могут совпадать с безвозмездной обязанностью продавца товара в отношении которого заключается договор (сертификат дополнительного сервиса ПДС), что в значительной мере подменяет собой обязательства продавца, установленные законом.
Приобретая ПДС, ознакомьтесь с условиями сертификата:
с информацией о продолжительности гарантийного срока на товар, если он установлен, сроком начала действия сертификата ПДС, а также датой окончания его действия, так как срок дополнительного обязательства, указанный в сертификате может совпадать с гарантийным сроком, установленным изготовителем или продавцом;
с информацией об объеме и характере гарантийных обязательств (размещается в гарантийных талонах и иным способом доводится до сведения потребителей), а также обязательствами, принятыми на себя исполнителем по сертификату ПДС.
Вопрос: На что следует обращать внимание при выборе шубы?
Ответ: Меховые изделия до подачи в торговый зал должны пройти предпродажную подготовку, которая включает: распаковку, рассортировку и осмотр товара; проверку качества товара (по внешним признакам) и наличия необходимой информации о товаре и его изготовителе.
Обращаем внимание потенциальных покупателей, что меховые изделия входят в единый перечень продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии (постановление Правительства РФ от 01.12.2009 № 982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»). Таким образом, при продаже таких товаров продавец по требованию покупателя обязан ознакомить его с декларацией о соответствии, копией декларации или товарно-сопроводительными документами, оформленными изготовителем или поставщиком (продавцом) и содержащими по каждому наименованию товара сведения о подтверждении его соответствия установленным требованиям.
Может возникнуть ситуация, когда купив меховое изделие (например, шубу) летом или осенью, через какое-то время потребитель осознает, что шуба разонравилось или не подошла по размеру и желает сдать товар обратно в магазин, при этом указывая, что сохранен товарный вид товара, фабричный ярлык, кассовый или товарный чек.
Однако, согласно ст. 25 Закона «О защите прав потребителей» потребитель вправе обменять товар надлежащего качества на аналогичный товар, если указанный товар не подошел по форме, габаритам, фасону, расцветке, размеру или комплектации в течение 14 дней, не считая дня его покупки. На товаре должны быть сохранены фабричные ярлыки, товарный вид, потребительские свойства, пломбы, товарный или кассовый чек. Отсутствие у потребителя товарного или кассового чека, либо иного подтверждающего оплату товара документа не лишает его возможности ссылаться на свидетельские показания.
Вопрос: Могу ли я, не обращаясь в суд предъявить требования продавцу?
Ответ: Сущность внесудебного порядка состоит в том, что потребитель может предъявить требования о защите нарушенного права непосредственно продавцу (изготовителю, исполнителю), не обращаясь с иском в суд. Досудебный порядок рассмотрения требований потребителей предусмотрен с целью побудить стороны самостоятельно урегулировать возникшие разногласия, а продавца (изготовителя, исполнителя) — добровольно удовлетворить обоснованные требования потребителя, позволяя быстро восстановить нарушенное право. Добровольное удовлетворение обоснованных требований потребителя — обязанность продавца (изготовителя, исполнителя). Нередко на практике возникает вопрос: обязательно ли для потребителя перед обращением в суд предъявлять требования продавцу (изготовителю, исполнителю) по поводу продажи некачественного товара или выполнения работы (услуги).
Разъясняем, что досудебное предъявление требований о защите своих нарушенных прав продавцу (изготовителю, исполнителю) — право потребителя. Естественно, что при этом предъявление требований продавцу (изготовителю, исполнителю) не лишает потребителя права заявить иск в суд, если продавец (изготовитель, исполнитель) откажется добровольно удовлетворить его требование полностью или частично.
Имена
доменов в сертификатах
Для протокола TLS сертификаты должны содержать
DNS-имена, поскольку TLS является протоколом, работающим на основе
службы DNS. Клиенты проверяют, чтобы DNS-имя сервера, к которому
они подключаются с помощью DNS-имени, позволяло подключиться к
требуемому серверу. Это верно для веб-обозревателей, которые
подключаются к веб-узлу по протоколу HTTPS, и для SMTP-серверов,
передающих электронную почту через Интернет или корпоративную
локальную сеть.
Одиночный сервер может поддерживать несколько DNS-имен
по следующим причинам:
- SMTP-сервер поддерживает несколько принятых доменов.
- Клиент может получать доступ к серверу электронной почты по
имени сервера, по имени домена, по локальному имени полного
доменного имени или по имени, определяемому по сбалансированной
нагрузке.
Если после установки TLS-подключения клиент обнаружит
искомое имя, клиент игнорирует другие имена в сертификате.
Несколько имен домена и сервера могут добавляться в поле
дополнительного имени субъекта TLS-сертификата. Сертификат,
содержащий несколько дополнительных имен субъекта, можно создать с
помощью параметра DomainName командлета
New-ExchangeCertificate. Параметр DomainName является
многозначным, так что он может принимать несколько имен.
Сертификаты X.509 могут содержать в расширении
сертификата «Дополнительное имя субъекта» (SubjectAltName) одно или
несколько DNS-имен либо вообще не содержать DNS-имен. DNS-имена в
расширении SubjectAltName точно соблюдают ограничения, существующие
для DNS-имен. Они не должны содержать более 255 символов, и, кроме
того, должны состоять только из символов A-Z, a-z, 0-9 и тире
(-).
Логика
сопоставления имен для функции безопасности домена
Логика сопоставления имен сертификатов для функции
безопасности домена проверяет соответствие имени домена в
полученному сертификате имени домена, в который отправляется почта.
В качестве примера рассмотрим полное доменное имя домена получателя
woodgrovebank.com. Логика сопоставления имен сертификатов выполняет
поиск всех DNS-имен в сертификатах, и если одно из DNS-имен
совпадает, сертификат считается соответствующим указанному
домену.
В данном примере логика сопоставления имен сертификатов
принимает сертификат с полностью совпадающим именем домена, таким
как woodgrovebank.com. Кроме того, в сертификатах могут
использоваться подстановочные знаки для имен доменов, поэтому
сертификат с DNS-именем *.woodgrovebank.com считается
соответствующим. Дополнительные сведения об именах домена с
подстановочными знаками в подразделе «Имена домена с
подстановочными знаками» ниже в данном разделе.
Логика сопоставления имен сертификатов также выполняет
поиск в DNS глубиной в один узел. Поэтому mail1.woodgrovebank.com
также считается соответствующим woodgrovebank.com. Тем не менее
DNS-имена с глубиной более двух узлов пне принимаются. Поэтому,
например, mail1.us.woodgrovebank.com не будет считаться
соответствующим woodgrovebank.com.
Дополнительные сведения о том, как Exchange выбирает
сертификаты, см. в разделе Выбор TLS-сертификата
SMTP.
Рекомендации по доменным именам для smtp-серверов в интернете
При создании сертификата или запроса сертификата для
пограничного транспортного сервера, осуществляющего
TLS-взаимодействие по протоколу SMTP через Интернет, в запрос
необходимо включить следующий набор имен доменов:
- Полное доменное имя сервера в Интернете — это имя может
отличаться от внутреннего полного доменного имени, которое
используется между пограничными транспортными серверами и
транспортными серверами-концентраторами, и должно соответствовать
записи «А», публикуемой на общедоступном DNS-сервере в Интернете.
Это имя должно вводиться как общее имя в параметр
SubjectName командлета New-ExchangeCertificate. - Все имена обслуживаемых доменов организации — чтобы
заполнить дополнительное имя субъекта для конечного сертификата,
используйте параметр IncludeAcceptedDomain командлета
New-ExchangeCertificate. - Полное доменное имя соединителя, если для него не
используется любой из предыдущих элементов — чтобы заполнить
дополнительное имя субъекта для конечного сертификата, используйте
параметр DomainName командлета
New-ExchangeCertificate.
Рекомендации по доменным именам для сервера клиентского
доступа
Когда создается сертификат или запрос сертификата для
сервера клиентского доступа, в запрос следует включать следующий
набор доменных имен:
- локальное имя или NetBIOS-имя сервера, например,
owa1; - все имена обслуживаемых доменов для организации, например,
contoso.com; - полное доменное имя для сервера, например,
owa1.contoso.com; - доменное имя службы автоматического обнаружения для домена,
например, Autodiscover.contoso.com; - идентификатор балансировки нагрузки сервера, если такой
используется, например, owa.contoso.com.
Доменные
имена с подстановочными знаками
Доменные имена с подстановочными знаками относятся к
специальному типу доменных имен, представляющих несколько
подчиненных доменов. Доменные имена с подстановочными знаками
помогают упростить сертификаты, так как одно доменное имя с
подстановочными знаками представляет все подчиненные домены этого
домена. Эти имена представляются символом звездочки ( * )
в DNS-узле. Например, *.contoso.com представляет
contoso.com и все подчиненные домены для contoso.com.
Если при создании сертификата или запроса сертификата для всех
принятых доменов использовать подстановочный знак, можно
существенно упростить запрос.
Имена
субъектов и имена доменов
По соглашению общее имя может содержать полное доменное
имя (FQDN). Хотя это широко практикуется и рекомендуется,
необходимо ясно представлять себе следующие две проблемы.
Во-первых, максимальный размер поля общего имени равен
64 символам. Это меньше, чем максимальный размер полного доменного
имени. Поэтому в случае полного доменного имени, содержащего более
64 символов, необходимо поместить доменное имя в дополнительное имя
субъекта. Параметр DomainName — это параметр, отображающий
дополнительное имя субъекта в конечный сертификат.
Во-вторых, полное доменное имя ограничено подмножеством
набора символов ASCII. Однако общее имя (CN) поддерживает Юникод.
Поэтому можно создать действительный сертификат с общим именем,
которое выглядит как DNS-имя, но является недопустимым DNS-именем.
Программное обеспечение, ищущее полное доменное имя в общем имени
сертификата, не вернет правильный результат, если общее имя
содержит символы, отличные от ASCII-символов. Например, если
создать сертификат с именем субъекта, где CN=mail.microsoft.com,
данное имя не будет считаться полным доменным именем, поскольку оно
содержит символ Юникода — «i» с диакритическим знаком (x00ef).
Общее имя в Юникоде легко спутать с полным доменным именем ввиду
незначительных различий между символом «i» с диакритическим знаком
(x00ef) и знаком «i» из ASCII (x0069). Задачей сертификата Echange
не устанавливается требование и не вводится правило, чтобы общее
имя субъекта было допустимым полным доменным именем. По умолчанию
это означает, что командлет включает полное доменное имя сервера в
качестве общего имени по умолчанию.
Имя
субъекта
«Имя субъекта» TLS-сертификата — это поле, используемое
службами, взаимодействующими с DNS. Поле «Имя субъекта» привязывает
сертификат к определенному имени сервера или домена.
Имя субъекта — это различающееся имя X.500, которое
состоит из одного или нескольких относительных различающихся имен,
которые также упоминаются как RDN (relative distinguished names). В
следующей таблице перечисляются относительные различающиеся имена,
часто используемые для идентификации организаций или объектов
серверов.
| Имя | Аббревиатура | Тип | Макс. размер | Частота Макс.рекомендуемая в сертификатезапросе | Порядок в субъекте |
|---|---|---|---|---|---|
Страна/регион | C | ASCII | 2 | 11 | 1 |
Компонент домена | DC | ASCII | 255 | Несколько | 1 |
Область или район | S | Юникод | 128 | 1 | 2 |
Местность | L | Юникод | 128 | 1 | 3 |
Организация | O | Юникод | 64 | 11 | 4 |
Подразделение | OU | Юникод | 64 | НесколькоНесколько | 5 |
Общее имя | CN | Юникод | 64 | Несколько1 | 6 |
Коды страны/региона являются кодами ISO 3166-1.
Дополнительные сведения см. по ссылке Английские названия стран и элементы
кода.
«Компонент домена» и «Страна/регион» согласно
соглашению являются взаимно исключающими. Рекомендуется ссылаться
на имя по стране/региону или по имени, существующем в службе имен
доменов (Domain Name System, DNS). Также следует иметь в ввиду, что
максимальный размер компонента домена (255 символов) является
суммой всех значений компонента домена.
Реализация
относительных различающихся имен
Имена субъектов представляются в командлете
New-ExchangeCertificate в виде одного параметра, состоящего
из последовательности имен, разделенных запятыми. Каждое имя
идентифицируется аббревиатурой относительного различающегося имени.
Например, следующее имя субъекта представляется как
«Страна/регион» = US,
«Организация» = Contoso Corp и «Общее
имя» = mail1.contoso.com:
Другие имена субъектов, которые могут представлять тот
же самый сервер, приводятся в следующих примерах:
Если имеется зарегистрированное DNS-имя, которое
применяется для отправки SMTP-почты, рекомендуется использовать
соглашение по компонентам доменов и DNS-имя для имени сертификата,
например, DC=contoso, DC=com, CN=mail1.contoso.com.
Однако при создании запроса сертификата для поставщика
центра сертификации необходимо ясно понимать требования центра
сертификации, предъявляемые к полю «Имя субъекта», и потребности
своей уникальной инфраструктуры открытого ключа. В некоторых
случаях, возможно, потребуется использовать код страны/региона
(«C»). Если это так, необходимо зарегистрировать свое относительное
различающееся имя в центре регистрации X.500.
Как прописать порядок и сроки обеспечения
Когда определяете порядок и срок предоставления обеспечения исполнения гарантийных обязательств по 44-ФЗ, учтите, что по ч. 7.1 ст. 94 44-ФЗ подписать акт приемки можно, когда поставщик обеспечил обязательства по гарантии. В ч. 3 ст.
96 44-ФЗ закреплено, что для этого поставщик передает банковскую гарантию на гарантийные обязательства по контракту 44-ФЗ или отправляет деньги на счет заказчика. Что касается срока, то к периоду обслуживания прибавляют один месяц, тогда получится минимальный период «заморозки» денег у заказчика или действия поручительства банка.
Например, если в госзакупках строительных работ объекта капстроительства госзаказчик прописывает гарантийный срок на выполненные работы по 44-ФЗ на 5 лет по ст. 756 Гражданского кодекса, то подрядчику придется получить поручительство банка на 5 лет 1 мес. или «заморозить» деньги на этот срок на лицевом счете заказчика.
Заказчик требует обеспечения обязательств по контракту, даже если выполнение контракта не обеспечивается. Например, в электронном запросе котировок на поставку компьютерного оборудования. При таком способе определения поставщика установить обеспечение контракта — право заказчика, а не обязанность.
Клонирование существующего
сертификата
Приложение Exchange 2007 создает во время установки
самозаверенный сертификат, который использует все имена серверов и
доменов, известные приложению Exchange на момент установки. Эти
сертификаты действительны в течение 12 месяцев. В некоторых случаях
имеет смысл клонировать эти сертификаты, если имена субъектов и
дополнительные имена субъектов могут использоваться для других
компьютеров. Имейте в виду, что клонируются только метаданные
сертификата, а не наборы ключей.
Чтобы выполнить следующий командлет на компьютере с
установленной ролью пограничного транспортного сервера, необходимо
войти в систему с учетной записью, входящей в локальную группу
администраторов на этом компьютере.
Чтобы клонировать новый сертификат из существующего
сертификата, необходимо сначала определить текущий сертификат,
используемый по умолчанию для домена, выполнив следующий
командлет:
Где mail1.contoso.com — имя сервера или
полное доменное имя, для которого требуется создать клонированный
сертификат.
Первый сертификат, приводимый в выходных данных,
является TLS-сертификатом службы SMTP, используемым по умолчанию
для сервера.
Чтобы клонировать сертификат, выполните следующую
команду:
Где значение параметра Thumbprint берется из
первого сертификата, приведенного в выходных данных для
Get-ExchangeCertificate.
Эта команда извлекает из существующего сертификата
имена, которые идентифицируются по отпечатку, и использует их в
новом самозаверенном сертификате.
Общие сведения о полях,
используемых сертификатами для служб tls
Если для создания запроса сертификата от стороннего
центра сертификации или другого центра сертификации инфраструктуры
открытого ключа используется командлет
New-ExchangeCertificate, убедитесь, что выполнена проверка
полей сертификата и формата сертификата, которые запрашиваются
центром сертификации.
В этом разделе описываются наиболее важные поля
сертификатов и предоставляются некоторые рекомендации по созданию
сертификатов и запросов сертификатов.
Имя
субъекта
«Имя субъекта» TLS-сертификата — это поле, используемое
службами, взаимодействующими с DNS. Поле «Имя субъекта» привязывает
сертификат к определенному имени сервера или домена.
Имя субъекта — это различающееся имя X.500, которое
состоит из одного или нескольких относительных различающихся имен,
которые также упоминаются как RDN (relative distinguished names). В
следующей таблице перечисляются относительные различающиеся имена,
часто используемые для идентификации организаций или объектов
серверов.
| Имя | Аббревиатура | Тип | Макс. размер | Частота Макс.рекомендуемая в сертификатезапросе | Порядок в субъекте |
|---|---|---|---|---|---|
Страна/регион | C | ASCII | 2 | 11 | 1 |
Компонент домена | DC | ASCII | 255 | Несколько | 1 |
Область или район | S | Юникод | 128 | 1 | 2 |
Местность | L | Юникод | 128 | 1 | 3 |
Организация | O | Юникод | 64 | 11 | 4 |
Подразделение | OU | Юникод | 64 | НесколькоНесколько | 5 |
Общее имя | CN | Юникод | 64 | Несколько1 | 6 |
Коды страны/региона являются кодами ISO 3166-1.
Дополнительные сведения см. по ссылке Английские названия стран и элементы
кода.
«Компонент домена» и «Страна/регион» согласно
соглашению являются взаимно исключающими. Рекомендуется ссылаться
на имя по стране/региону или по имени, существующем в службе имен
доменов (Domain Name System, DNS). Также следует иметь в ввиду, что
максимальный размер компонента домена (255 символов) является
суммой всех значений компонента домена.
Реализация
относительных различающихся имен
Имена субъектов представляются в командлете
New-ExchangeCertificate в виде одного параметра, состоящего
из последовательности имен, разделенных запятыми. Каждое имя
идентифицируется аббревиатурой относительного различающегося имени.
Например, следующее имя субъекта представляется как
«Страна/регион» = US,
«Организация» = Contoso Corp и «Общее
имя» = mail1.contoso.com:
Другие имена субъектов, которые могут представлять тот
же самый сервер, приводятся в следующих примерах:
Если имеется зарегистрированное DNS-имя, которое
применяется для отправки SMTP-почты, рекомендуется использовать
соглашение по компонентам доменов и DNS-имя для имени сертификата,
например, DC=contoso, DC=com, CN=mail1.contoso.com.
Однако при создании запроса сертификата для поставщика
центра сертификации необходимо ясно понимать требования центра
сертификации, предъявляемые к полю «Имя субъекта», и потребности
своей уникальной инфраструктуры открытого ключа. В некоторых
случаях, возможно, потребуется использовать код страны/региона
(«C»). Если это так, необходимо зарегистрировать свое относительное
различающееся имя в центре регистрации X.500.
Международные имена субъектов
Имена
субъектов и имена доменов
По соглашению общее имя может содержать полное доменное
имя (FQDN). Хотя это широко практикуется и рекомендуется,
необходимо ясно представлять себе следующие две проблемы.
Во-первых, максимальный размер поля общего имени равен
64 символам. Это меньше, чем максимальный размер полного доменного
имени. Поэтому в случае полного доменного имени, содержащего более
64 символов, необходимо поместить доменное имя в дополнительное имя
субъекта. Параметр DomainName — это параметр, отображающий
дополнительное имя субъекта в конечный сертификат.
Во-вторых, полное доменное имя ограничено подмножеством
набора символов ASCII. Однако общее имя (CN) поддерживает Юникод.
Поэтому можно создать действительный сертификат с общим именем,
которое выглядит как DNS-имя, но является недопустимым DNS-именем.
Программное обеспечение, ищущее полное доменное имя в общем имени
сертификата, не вернет правильный результат, если общее имя
содержит символы, отличные от ASCII-символов. Например, если
создать сертификат с именем субъекта, где CN=mail.microsoft.com,
данное имя не будет считаться полным доменным именем, поскольку оно
содержит символ Юникода — «i» с диакритическим знаком (x00ef).
Общее имя в Юникоде легко спутать с полным доменным именем ввиду
незначительных различий между символом «i» с диакритическим знаком
(x00ef) и знаком «i» из ASCII (x0069). Задачей сертификата Echange
не устанавливается требование и не вводится правило, чтобы общее
имя субъекта было допустимым полным доменным именем. По умолчанию
это означает, что командлет включает полное доменное имя сервера в
качестве общего имени по умолчанию.
Имена
доменов в сертификатах
Для протокола TLS сертификаты должны содержать
DNS-имена, поскольку TLS является протоколом, работающим на основе
службы DNS. Клиенты проверяют, чтобы DNS-имя сервера, к которому
они подключаются с помощью DNS-имени, позволяло подключиться к
требуемому серверу. Это верно для веб-обозревателей, которые
подключаются к веб-узлу по протоколу HTTPS, и для SMTP-серверов,
передающих электронную почту через Интернет или корпоративную
локальную сеть.
Одиночный сервер может поддерживать несколько DNS-имен
по следующим причинам:
- SMTP-сервер поддерживает несколько принятых доменов.
- Клиент может получать доступ к серверу электронной почты по
имени сервера, по имени домена, по локальному имени полного
доменного имени или по имени, определяемому по сбалансированной
нагрузке.
Если после установки TLS-подключения клиент обнаружит
искомое имя, клиент игнорирует другие имена в сертификате.
Несколько имен домена и сервера могут добавляться в поле
дополнительного имени субъекта TLS-сертификата. Сертификат,
содержащий несколько дополнительных имен субъекта, можно создать с
помощью параметра DomainName командлета
New-ExchangeCertificate. Параметр DomainName является
многозначным, так что он может принимать несколько имен.
Сертификаты X.509 могут содержать в расширении
сертификата «Дополнительное имя субъекта» (SubjectAltName) одно или
несколько DNS-имен либо вообще не содержать DNS-имен. DNS-имена в
расширении SubjectAltName точно соблюдают ограничения, существующие
для DNS-имен. Они не должны содержать более 255 символов, и, кроме
того, должны состоять только из символов A-Z, a-z, 0-9 и тире
(-).
Логика
сопоставления имен для функции безопасности домена
Логика сопоставления имен сертификатов для функции
безопасности домена проверяет соответствие имени домена в
полученному сертификате имени домена, в который отправляется почта.
В качестве примера рассмотрим полное доменное имя домена получателя
woodgrovebank.com. Логика сопоставления имен сертификатов выполняет
поиск всех DNS-имен в сертификатах, и если одно из DNS-имен
совпадает, сертификат считается соответствующим указанному
домену.
В данном примере логика сопоставления имен сертификатов
принимает сертификат с полностью совпадающим именем домена, таким
как woodgrovebank.com. Кроме того, в сертификатах могут
использоваться подстановочные знаки для имен доменов, поэтому
сертификат с DNS-именем *.woodgrovebank.com считается
соответствующим. Дополнительные сведения об именах домена с
подстановочными знаками в подразделе «Имена домена с
подстановочными знаками» ниже в данном разделе.
Логика сопоставления имен сертификатов также выполняет
поиск в DNS глубиной в один узел. Поэтому mail1.woodgrovebank.com
также считается соответствующим woodgrovebank.com. Тем не менее
DNS-имена с глубиной более двух узлов пне принимаются. Поэтому,
например, mail1.us.woodgrovebank.com не будет считаться
соответствующим woodgrovebank.com.
Дополнительные сведения о том, как Exchange выбирает
сертификаты, см. в разделе Выбор TLS-сертификата
SMTP.
Рекомендации по доменным именам для smtp-серверов в интернете
При создании сертификата или запроса сертификата для
пограничного транспортного сервера, осуществляющего
TLS-взаимодействие по протоколу SMTP через Интернет, в запрос
необходимо включить следующий набор имен доменов:
- Полное доменное имя сервера в Интернете — это имя может
отличаться от внутреннего полного доменного имени, которое
используется между пограничными транспортными серверами и
транспортными серверами-концентраторами, и должно соответствовать
записи «А», публикуемой на общедоступном DNS-сервере в Интернете.
Это имя должно вводиться как общее имя в параметр
SubjectName командлета New-ExchangeCertificate. - Все имена обслуживаемых доменов организации — чтобы
заполнить дополнительное имя субъекта для конечного сертификата,
используйте параметр IncludeAcceptedDomain командлета
New-ExchangeCertificate. - Полное доменное имя соединителя, если для него не
используется любой из предыдущих элементов — чтобы заполнить
дополнительное имя субъекта для конечного сертификата, используйте
параметр DomainName командлета
New-ExchangeCertificate.
Рекомендации по доменным именам для сервера клиентского
доступа
Когда создается сертификат или запрос сертификата для
сервера клиентского доступа, в запрос следует включать следующий
набор доменных имен:
- локальное имя или NetBIOS-имя сервера, например,
owa1; - все имена обслуживаемых доменов для организации, например,
contoso.com; - полное доменное имя для сервера, например,
owa1.contoso.com; - доменное имя службы автоматического обнаружения для домена,
например, Autodiscover.contoso.com; - идентификатор балансировки нагрузки сервера, если такой
используется, например, owa.contoso.com.
Доменные
имена с подстановочными знаками
Доменные имена с подстановочными знаками относятся к
специальному типу доменных имен, представляющих несколько
подчиненных доменов. Доменные имена с подстановочными знаками
помогают упростить сертификаты, так как одно доменное имя с
подстановочными знаками представляет все подчиненные домены этого
домена. Эти имена представляются символом звездочки ( * )
в DNS-узле. Например, *.contoso.com представляет
contoso.com и все подчиненные домены для contoso.com.
Если при создании сертификата или запроса сертификата для всех
принятых доменов использовать подстановочный знак, можно
существенно упростить запрос.