Giả sử tôi có một ứng dụng web được truy cập từ bên ngoài thông qua http://webapp.mydomain.com và trong nội bộ qua http://webapp.intranetservername/SSL cho nội bộ và bên ngoài sử dụng
Tôi có cần hai giấy chứng nhận SSL? Hoặc có thể sử dụng cùng một chứng chỉ SSL không?
Bạn sẽ cần hai chứng chỉ SSL và máy chủ mạng nội bộ sẽ phải tự ký vì cơ quan cấp chứng chỉ bị cấm ký chứng chỉ cho tên miền nội bộ (vì không có cách nào để xác minh quyền sở hữu tên miền đó).
Thông thường, bạn có thể tạo chứng chỉ SSL duy nhất hợp lệ cho nhiều tên miền (bằng cách sử dụng phần mở rộng Tên thay thế chủ đề). Tuy nhiên, một lần nữa, một CA không thể ký một trừ khi họ có thể xác nhận tất cả các tên miền mà nó tuyên bố là hợp lệ.
Bạn sẽ cần hai, vì chứng chỉ SSL hoạt động trên tên miền và bạn có hai tên miền tại đó.
Bạn có thể sử dụng tương tự trên cả hai, nhưng sẽ có thông báo lỗi được hiển thị trong hầu hết các trình duyệt cảnh báo người dùng rằng chứng nhận không xác thực.
Bạn có thể hiểu được chi phí của việc phải đăng ký cả với Verisign bằng cách tự xác nhận trang web mạng nội bộ và phân phối tự xác nhận cho tất cả các trình duyệt của nhân viên của bạn.
Tùy thuộc vào kích thước của doanh nghiệp và số người dùng sẽ truy cập "webapp.intranetservername" điều này có thể hoặc không thể rẻ hơn và dễ dàng hơn so với việc chỉ cần đặt lại cả hai tên miền với Verisign.
Về nguyên tắc, bạn có thể có một chứng chỉ với hai Tên thay thế chủ đề cho webapp.mydomain.com và webapp.intranetservername. Trong thực tế, điều đó không thực tế, vì không có CA nào sẽ phát hành một cái gì đó cho .intranetservername, trừ khi nó cũng là một tên miền công cộng thích hợp.
Nói chung, nếu .intranetservername không phải là miền đã đăng ký, CA sẽ không cấp chứng chỉ cho nó, vì vậy bạn sẽ phải sử dụng CA của riêng bạn.
Nếu bạn có thể mong đợi cả hai loại máy khách (trong và ngoài) tin cậy CA của riêng bạn, bạn có thể cấp chứng chỉ với hai SAN với CA này.
Nếu bạn mong đợi các kiểu người dùng khác nhau (chỉ tin cậy nhóm CA mặc định hoặc tin tưởng CA của bạn), bạn sẽ phải sử dụng hai chứng chỉ, mỗi chứng chỉ được cấp bởi mỗi chứng chỉ. Bạn cũng có thể cần phải liên kết chúng với các địa chỉ IP riêng biệt (nhưng sự sẵn có của một địa chỉ IP nội bộ bổ sung trên mạng LAN không nhất thiết phải là một vấn đề).
Về cơ bản, có lý do chính đáng nào khiến bạn gọi cùng một ứng dụng web, chạy trên cùng một máy, bằng hai tên riêng biệt, cho dù bạn truy cập nội bộ hay bên ngoài? Tại sao những người trong mạng nội bộ không thể nói chuyện với webapp.mydomain.com?
Tôi cho rằng đây có thể là một nỗ lực để tăng cường bảo mật bằng cách nào đó, nhưng nếu đó là cùng một máy, nó sẽ được trên cả hai mạng anyway, vì vậy tôi không chắc chắn những gì cải thiện an ninh này.
Nếu bạn thực sự muốn có tên riêng biệt, bạn có thể có cả hai tên trên tên miền bên ngoài của mình (ví dụ:webapp.mydomain.com và intranet.mydomain.com) và có chứng chỉ do CA nổi tiếng cho cả hai (tôi vẫn chưa chắc chắn về lợi thế của việc tách các tên trên cùng một máy). Thật vậy, xác thực chứng chỉ chỉ dựa trên tên và bạn có thể dễ dàng có máy chủ DNS của mình trỏ intranet.mydomain.com đến địa chỉ IP riêng (ví dụ: 10.1.1.1). Mọi người từ bên ngoài sẽ không thể truy cập địa chỉ đó, đơn giản vì nó sẽ không được định tuyến, nhưng nó sẽ hoạt động tốt trong mạng nội bộ của bạn (các máy được cung cấp trên mạng nội bộ có thể thực hiện các yêu cầu DNS, một số môi trường chặn điều này).