Изменения в процедуре выпуска сертификатов внешними поставщиками

Вытащу ка я одну старую новость. Возможно не все об этом знают.

Существует некоторая общественная организация CA/Browser Forum, которая включает в себя большое количество поставщиков сертификатов и производителей браузеров. Цель существования данной организации выходит за рамки этой заметки. Более интересен документ, рождённый членами данной организации, который можно посмотреть здесь. Из названия документа (Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates) можно сделать вывод, что представляет он собой некоторое джентельменское соглашение о том, как должна выглядеть процедура выпуска и управления сертификатами внешними поставщиками сертификатов. Учитывая, что в организации участвуют и производители софта (в частности браузеров), то де-факто джентельменское соглашение рискует перерасти в некий стандарт.

Не менее интересно то, что этот документ может повлиять на процесс проектирования архитектуры Active Directory, Exchange Server, Lync Server. Теперь имеет смысл посмотреть на те тонкие моменты, которые уже имеет смысл учитывать про проектировании. Документ говорит:

9.2.1 Subject Alternative Name Extension

Certificate Field: extensions:subjectAltName

Required/Optional: Required

Contents: This extension MUST contain at least one entry. Each entry MUST be either a dNSName containing the Fully-Qualified Domain Name or an iPAddress containing the IP address of a server. The CA MUST confirm that the Applicant controls the Fully-Qualified Domain Name or IP address or has been granted the right to use it by the Domain Name Registrant or IP address assignee, as appropriate.

Wildcard FQDNs are permitted.

As of the Effective Date of these Requirements, prior to the issuance of a Certificate with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Server Name, the CA SHALL notify the Applicant that the use of such Certificates has been deprecated by the CA / Browser Forum and that the practice will be eliminated by October 2016. Also as of the Effective Date, the CA SHALL NOT issue a certificate with an Expiry Date later than 1 November 2015 with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Server Name. Effective 1 October 2016, CAs SHALL revoke all unexpired Certificates whose subjectAlternativeName extension or Subject commonName field contains a Reserved IP Address or Internal Server Name.

9.2.2 Subject Common Name Field

Certificate Field: subject:commonName (OID 2.5.4.3)

Required/Optional: Deprecated (Discouraged, but not prohibited)

Contents: If present, this field MUST contain a single IP address or Fully-Qualified Domain Name that is one of the values contained in the Certificate’s subjectAltName extension (see Section 9.2.1).

Значит это следующее:

  • Поле SAN теперь обязательно для всех сертификатов и должно содержать как минимум одну запись (FQDN или IP). Кроме этого:
    • Компания, выпускающая сертификат обязана проверять, что указанный FQDN/IP может использоваться клиентом. Делается это обычно через письмо на адрес, указанный в WHOIS для домена или через телефонный звонок.
    • Компания, выпускающая сертификат должна предупредить, что использование внутренних IP/FQDN в поле SAN с октября 2016 года не допускается. Все сертификаты с такими именами будут отозваны 1 октября 2016 года.
    • Компания, выпускающая сертификат не должна выпускать сертификаты с внутренними IP/FQDN в поле SAN, срок жизни которых истекает 1 ноября 2015 года и позднее.
  • Поле Subject Name в обозримой перспективе рискует исчезнуть совсем.

Говоря русским языком, скоро уже не получится запросить сертификат с именами из зон .local, .domain, .corp и тд. в поле SAN у внешних поставщиков сертификатов. Таким образом, если существует необходимость использования внутренних имён серверов во внешних сертификатах, придётся пересматривать архитектуру существующих систем.

4 thoughts on “Изменения в процедуре выпуска сертификатов внешними поставщиками

  1. А разве такая необходимость существовала? Exchange / Lync / AD позволяют без проблем разделять сертификаты для внутренних и внешних сервисов.

  2. Возможны архитектурные решения, при которых будут выписываться сертификаты с внутренними “неправильными” именами сервисов для клиентов. Такие вот архитектурные решения с 2016 года будут “вне закона”.

  3. Здравствуйте, Станислав.
    Ознакомился с вашей статьей. В свое время не учли архитектурную особенность построения домена, но раз сейчас приближается период, когда мы будем вынуждены это сделать, хотел бы получить от вас экспертное мнение по процедуре изменения имени домена.
    Не могу найти официальной информации, поэтому решил обратиться к вам.
    Встал вопрос о переименовании домена domain.local на правильное domain.ru. Основываясь на своем личном опыте, не могли бы вы подсказать, в каком направлении двигаться для разрешения данной проблемы, чтобы правильно и безболезненно перевести действующий домен из зоны .local в зону .ru Интересует именно использование основного домена, а не субдоменов. Исходные данные: MS AD 2012 + Exchange 2013 + MS CA.
    Я знакомился со всеми Best Practice, но нигде не нашел официальной информации об этом.
    Буду очень признателен, если вы подскажете в каком направлении копать.

  4. Здравствуйте Константин,
    Начиная с Exchange 2007 операция переименования домена, в котором находятся серверы Exchange не поддерживается (см. тут – https://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx или тут – http://blogs.technet.com/b/exchange/archive/2008/02/15/3404896.aspx). Поэтому вариантов немного:
    1. Миграция в новый домен/лес
    2. Использование split-brain DND (см. тут – http://www.alexxhost.ru/2011/05/dns-ru-local.html)
    3. Публикация Exchange через TMG/WAP. В этом случае внутренние клиенты будут использовать внутренние “неправильные” сертификаты, а внешние – будут использовать внешние “правильные”.

Leave a Reply

Your email address will not be published. Required fields are marked *