Значение добавления родительского домена в качестве SAN в сертификатах UC

osmannayeem

Для всех приложений UC Cisco всегда автоматически заполняет родительский домен при генерации CSR. Может ли кто-нибудь помочь мне понять, в чем именно заключается преимущество наличия этого родительского домена? Каковы варианты его использования? Что произойдет, если мы удалим родительский домен и оставим только сервер SAN при генерации CSR?

Roger Kallberg

Все, что добавляется автоматически, должно оставаться. Все очень просто. Я бы рекомендовал удалить IMP, если появляются домены, отличные от вашего. Это может произойти в результате синхронизации каталогов с пользователями, у которых есть некорпоративный адрес электронной почты. Сходу я не могу придумать, как это можно использовать в сочетании с CCX. ![Response Signature]

Roger Kallberg

Например, он используется для клиентов Jabber, чтобы не отображать предупреждение о сертификатах при входе в систему/подключении. Позвольте мне задать вам вопрос: по какой причине вы хотите его удалить? ![Response Signature]

osmannayeem

Хорошая замечание, спасибо! Я забыл о предупреждении о сертификате при входе в Jabber. Поэтому я обновлял сертификат Tomcat наших серверов CCX. Родительский домен всегда автоматически заполняется при запросе на генерацию CSR, я никогда не задумывался о конкретной цели. Но на этот раз наша команда безопасности хочет знать причину добавления родительского домена, прежде чем утвердить мой запрос на подписание сертификата с внешним ЦС. Можете ли вы придумать какое-либо конкретное применение для него в CCX?

Adam Pawlowski

Может быть, это все еще XMPP/BOSH для настольного чата и присутствия агента?

shleets

Здравствуйте, Роджер. Спустя 8 лет после получения сертификатов Multi SAN у меня возник вопрос, зачем нам нужен родительский домен. Проблема в том, что он указан в CSR и является SAN в сертификате, и, как мне сказали, это представляет угрозу безопасности для всего домена. Какое значение имеет родительский домен в CSR и сертификате? Есть ли услуги, которые зависят от этого? Если он не будет добавлен, произойдут ли сбои в работе среды или чего нам следует ожидать? Любые рекомендации помогут нам провести обсуждение с нашей командой по безопасности.

Roger Kallberg

Не уверен, что понимаю проблемы безопасности, связанные с этим. Не могли бы вы подробнее объяснить? ![Response Signature]

Nithin Eluvathingal

Насколько я знаю, некоторые развертывания используют SAN для реализации TLS-соединений с другой инфраструктурой Cisco или сторонними производителями. Почему вы хотите, чтобы сертификаты были подписаны публичным ЦС? Эти сертификаты могут быть подписаны вашим внутренним ЦС. Поле «Родительский домен» не является обязательным при генерации CSR. Ниже приведены результаты CSR при выборе «пусто» и «с родительским доменом». Что касается публичного ЦС, стоимость будет зависеть от записей в поле SAN. ![Screenshot 2021-08-13 at 6.11.04 PM.png]
![Screenshot 2021-08-13 at 6.12.14 PM.png] Согласно приведенному ниже руководству, если у вас возникли проблемы с CSR и загруженным сертификатом, рекомендуется выбрать пустой родительский центр сертификации. https://www.cisco.com/c/en/us/support/docs/customer-collaboration/unified-contact-center-express/118855-configure-uccx-00.html ![Screenshot 2021-08-13 at 6.16.45 PM.png] ![Response Signature]

j.a.m.e.s

Привет, Нитин, Знаешь ли ты, будет ли этот обходной путь «Очистить поле родительского домена», а затем ввести только соответствующие записи SAN через CA, действителен и для CUC? Специалисты по безопасности не любят получать CSR, в котором в качестве SAN запрашивается TLD компании. Принятый ответ в этой ветке, гласящий «все должно остаться как есть, все просто», не подходит. Спасибо за любую информацию.