In linea di principio, è possibile avere un singolo certificato con due nomi alternativi oggetto per webapp.mydomain.com
e webapp.intranetservername
. In pratica, ciò non è realistico, dal momento che nessuna CA invierà qualcosa a .intranetservername
, a meno che non sia anche un nome di dominio pubblico appropriato.
In generale, se .intranetservername
non è un dominio registrato, nessuna CA emetterà un certificato per questo, quindi sarà comunque necessario utilizzare la propria CA.
Se ci si può aspettare di entrambi i tipi di clienti (internamente ed esternamente) ad avere fiducia il proprio CA, si potrebbe di problema naturalmente un certificato con due reti SAN con questa CA.
Se si prevedono tipi diversi di utenti (affidandosi solo ai bundle predefiniti di CA o affidandosi anche alla CA), sarà necessario utilizzare due certificati, uno emesso da ciascuno. Potrebbe inoltre essere necessario associarli a indirizzi IP separati (ma la disponibilità di un indirizzo IP interno aggiuntivo su una LAN non è necessariamente un problema).
Più fondamentalmente, c'è qualche buona ragione per cui si sta chiamando la stessa applicazione web, in esecuzione sulla stessa macchina, con due nomi distinti, se si accede internamente o esternamente? Perché le persone all'interno della intranet non possono parlare con webapp.mydomain.com
?
Presumo che questo potrebbe essere un tentativo di aumentare la sicurezza in qualche modo, ma se si tratta della stessa macchina, sarà comunque su entrambe le reti, quindi non sono sicuro di quale miglioramento della sicurezza porta questa separazione dei nomi.
Se vuoi davvero nomi separati, puoi averli entrambi sul tuo dominio esterno (ad es.webapp.mydomain.com
e intranet.mydomain.com
), e hanno un certificato rilasciato da una CA ben nota per entrambi (non sono ancora sicuro del vantaggio di separare i nomi sulla stessa macchina, però). Infatti, la convalida del certificato si basa solo sul nome e puoi facilmente avere i tuoi server DNS in punto intranet.mydomain.com
in un indirizzo IP privato (ad esempio 10.1.1.1
). Le persone dall'esterno non saranno in grado di accedere a quell'indirizzo, semplicemente perché non verranno instradati, ma funzionerà bene all'interno della tua intranet (a condizione che le macchine sulla intranet siano in grado di effettuare richieste DNS, alcuni ambienti lo bloccano).