:strip_icc():strip_exif()/u/4421/sas.jpg?f=community)
Twee weken geleden heb ik als reseller van Xolphin (sslcertificaten.nl) een bericht ontvangen dat de grote Certification Authorities onderling met elkaar hebben afgesproken om vanaf eind 2015 geen SSL certificaten meer uit te geven die interne domeinnamen (zoals bijv. .local) bevatten (bron oa: Digicert)
Wat je bijv. nu veel gebruikt met Exchange 2007/2010 UCC certificaten.
Xolphin en de Certification Authorities erkennen ook dat dit problemen gaat opleveren met Exchange UCC certficaten en de interne domeinnamen die nu bij veel bedrijven in Active Directory worden gebruikt, vandaar dat deze wijziging dus pas vanaf eind 2015 wordt doorgevoerd.
Simpelgezegd kun je na eind 2015 dus geen SSL certificaten meer krijgen met interne domeinnamen.
Naar mijn weten is het ook geen recommendation van Microsoft voor AD implementatie om publieke FQDN te gebruiken voor je interne netwerk.
Wat is nu dus de beste mogelijkheid met dit in acht te nemen om een AD domein op te zetten?
Aangezien ik nu bij een klant een nieuw Windows 2008 R2 netwerk aan het inrichten ben wil ik hier gelijk rekening mee houden zonder dat dit later nog problemen oplevert.
Een optie zou zijn toch gewoon een bedrijf.local domein te gebruiken voor AD en dan een interne DNS zone aan te maken met de publieke domain zone (bijv. bedrijf.nl) zodat mail.bedrijf.nl intern verwijst naar het interne IP en daarbij een SSL UCC certificaat met daarin bijv. mail.bedrijf.nl, autodiscover.bedrijf.nl en webmail.bedrijf.nl laat draaien.
Ik weet dat dit normaal ook geen recommendation is om publieke DNS zones dubbel te hebben in je interne DNS server (hier is een naampje voor volgens mij).
Wat zou jullie advies en gedachten hierin zijn?
Edit: officieel is de regel als volgt:
Vanaf 1 juli 2012 mogen er geen SSL certificaten meer uitgeven worden met interne domeinen welke een einddatum hebben later dan 1 november 2015. De browser fabrikanten zoals Microsoft en Mozilla vinden het gebruik van interne domeinen in SSL certificaten onveilig. Vandaar dat het tot 1 november 2015 nog wel mogelijk zal zijn om certificaten met interne domeinen aan te vragen, maar altijd met een einddatum die voor 1 november 2015 ligt.
Certificaten met interne domeinnamen welke voor 1 juli 2012 zijn uitgegeven en op 1 oktober 2016 nog geldig zijn zullen door de certificate authorities worden ingetrokken.
Wat je bijv. nu veel gebruikt met Exchange 2007/2010 UCC certificaten.
Xolphin en de Certification Authorities erkennen ook dat dit problemen gaat opleveren met Exchange UCC certficaten en de interne domeinnamen die nu bij veel bedrijven in Active Directory worden gebruikt, vandaar dat deze wijziging dus pas vanaf eind 2015 wordt doorgevoerd.
Simpelgezegd kun je na eind 2015 dus geen SSL certificaten meer krijgen met interne domeinnamen.
Naar mijn weten is het ook geen recommendation van Microsoft voor AD implementatie om publieke FQDN te gebruiken voor je interne netwerk.
Wat is nu dus de beste mogelijkheid met dit in acht te nemen om een AD domein op te zetten?
Aangezien ik nu bij een klant een nieuw Windows 2008 R2 netwerk aan het inrichten ben wil ik hier gelijk rekening mee houden zonder dat dit later nog problemen oplevert.
Een optie zou zijn toch gewoon een bedrijf.local domein te gebruiken voor AD en dan een interne DNS zone aan te maken met de publieke domain zone (bijv. bedrijf.nl) zodat mail.bedrijf.nl intern verwijst naar het interne IP en daarbij een SSL UCC certificaat met daarin bijv. mail.bedrijf.nl, autodiscover.bedrijf.nl en webmail.bedrijf.nl laat draaien.
Ik weet dat dit normaal ook geen recommendation is om publieke DNS zones dubbel te hebben in je interne DNS server (hier is een naampje voor volgens mij).
Wat zou jullie advies en gedachten hierin zijn?
Edit: officieel is de regel als volgt:
Vanaf 1 juli 2012 mogen er geen SSL certificaten meer uitgeven worden met interne domeinen welke een einddatum hebben later dan 1 november 2015. De browser fabrikanten zoals Microsoft en Mozilla vinden het gebruik van interne domeinen in SSL certificaten onveilig. Vandaar dat het tot 1 november 2015 nog wel mogelijk zal zijn om certificaten met interne domeinen aan te vragen, maar altijd met een einddatum die voor 1 november 2015 ligt.
Certificaten met interne domeinnamen welke voor 1 juli 2012 zijn uitgegeven en op 1 oktober 2016 nog geldig zijn zullen door de certificate authorities worden ingetrokken.
[ Voor 23% gewijzigd door Urk op 10-07-2012 15:37 ]
:strip_icc():strip_exif()/u/19987/images.jpg?f=community)
:strip_icc():strip_exif()/u/17296/palawanmini.jpg?f=community)
:strip_icc():strip_exif()/u/23150/stan.jpg?f=community)
:strip_icc():strip_exif()/u/265617/crop58581ca3c2d3b_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
UCC certificaten zijn toch gewoon SAN certificaten? Daar heb ik het al over en juist daarover gaat dit topic icm met de nieuwe regels.
/u/97359/crop64803232ade4a_cropped.png?f=community)
/u/1906/crop5dfd46928e003.png?f=community)
/u/11437/wandcontactdoos.png?f=community)
