Supponiamo di Ho un'applicazione web che è accessibile dall'esterno tramite http://webapp.mydomain.com e internamente tramite http://webapp.intranetservername/per uso interno ed esterno
ho bisogno di due certificati SSL? Oppure può essere utilizzato lo stesso certificato SSL?
Avrete bisogno di due certificati SSL, e quello per il server intranet dovrà essere autofirmato, poiché alle autorità di certificazione è proibito firmare i certificati per i domini interni (poiché non c'è modo di verificare la proprietà di tale dominio).
Generalmente è possibile creare un singolo certificato SSL valido per più domini (utilizzando l'estensione Nome alternativo soggetto). Tuttavia, ancora una volta, una CA non può firmarne una a meno che non possa convalidare tutti i domini per cui afferma di essere valido.
Avrete bisogno di due, dal momento che la certificazione SSL funziona sul nome di dominio, e lì ci sono due nomi di dominio.
È possibile utilizzare lo stesso su entrambi, ma nella maggior parte dei browser verrà visualizzato un messaggio di errore che avvisa gli utenti che il certificato non era autentico.
È possibile aggirare l'incidenza sui costi di dover registrare entrambi con Verisign autocertificando il sito intranet e distribuendo il self-cert a tutti i browser dei dipendenti.
A seconda delle dimensioni dell'azienda e del numero di utenti che accederanno a "webapp.intranetservername", questo potrebbe essere meno costoso e più facile rispetto alla semplice registrazione di entrambi i domini con Verisign.
In linea di principio, è possibile avere un singolo certificato con due nomi alternativi oggetto per webapp.mydomain.com e webapp.intranetservername. In pratica, ciò non è realistico, dal momento che nessuna CA invierà qualcosa a .intranetservername, a meno che non sia anche un nome di dominio pubblico appropriato.
In generale, se .intranetservername non è un dominio registrato, nessuna CA emetterà un certificato per questo, quindi sarà comunque necessario utilizzare la propria CA.
Se ci si può aspettare di entrambi i tipi di clienti (internamente ed esternamente) ad avere fiducia il proprio CA, si potrebbe di problema naturalmente un certificato con due reti SAN con questa CA.
Se si prevedono tipi diversi di utenti (affidandosi solo ai bundle predefiniti di CA o affidandosi anche alla CA), sarà necessario utilizzare due certificati, uno emesso da ciascuno. Potrebbe inoltre essere necessario associarli a indirizzi IP separati (ma la disponibilità di un indirizzo IP interno aggiuntivo su una LAN non è necessariamente un problema).
Più fondamentalmente, c'è qualche buona ragione per cui si sta chiamando la stessa applicazione web, in esecuzione sulla stessa macchina, con due nomi distinti, se si accede internamente o esternamente? Perché le persone all'interno della intranet non possono parlare con webapp.mydomain.com?
Presumo che questo potrebbe essere un tentativo di aumentare la sicurezza in qualche modo, ma se si tratta della stessa macchina, sarà comunque su entrambe le reti, quindi non sono sicuro di quale miglioramento della sicurezza porta questa separazione dei nomi.
Se vuoi davvero nomi separati, puoi averli entrambi sul tuo dominio esterno (ad es.webapp.mydomain.com e intranet.mydomain.com), e hanno un certificato rilasciato da una CA ben nota per entrambi (non sono ancora sicuro del vantaggio di separare i nomi sulla stessa macchina, però). Infatti, la convalida del certificato si basa solo sul nome e puoi facilmente avere i tuoi server DNS in punto intranet.mydomain.com in un indirizzo IP privato (ad esempio 10.1.1.1). Le persone dall'esterno non saranno in grado di accedere a quell'indirizzo, semplicemente perché non verranno instradati, ma funzionerà bene all'interno della tua intranet (a condizione che le macchine sulla intranet siano in grado di effettuare richieste DNS, alcuni ambienti lo bloccano).