填写SSL证书请求时,IP地址是否可用于“通用名称”?
更新:我们有一个新的生产框,没有公共域名。 只是一个公共IP。 但是我们需要申请一个SSL证书。 我正在研究域名,但是同时,如果我只能通过公共IP获得一个证书请求,那么我可以保留一些东西。
根据: RFC6125 ,是的,这是可能的。 但是,SSL客户端可能不完全兼容,您必须testing所有支持的SSL客户端,以了解他们如何执行证书validation。
客户端确定参考身份的types(例如DNS名称或IP地址),并在参考之间进行比较
身份和相应types的每个subjectAltName值
直到比赛产生。 一旦匹配产生,服务器的
身份已被validation,并且服务器身份检查是
完成。 不同的subjectAltNametypes在不同的匹配
方法。 3.1.3.1 – 3.1.3.3节解释了如何比较值
各种subjectAltNametypes。 “
。
“3.1.3.2。比较IP地址
当参考身份是IP地址时,身份必须转换为“networking字节顺序”字节串表示
[IP] [IPv6]。 对于IP版本4,按照RFC 791中的规定,八位字节
string将包含正好四个八位字节。 对于IP版本6,如
在RFC 2460中指定,八位组串将包含十六个
字节。 然后将该八位string与subjectAltName进行比较
iPAddresstypes的值。 如果参考身份发生匹配
八位string和八位字节string是相同的。“
。
“o完全合格的DNS域名以外的标识符。
Some certification authorities issue server certificates based on IP addresses, but preliminary evidence indicates that such certificates are a very small percentage (less than 1%) of issued certificates. Furthermore, IP addresses are not necessarily reliable identifiers for application services because of the existence of private internets [PRIVATE], host mobility, multiple interfaces on a given host, Network Address Translators (NATs) resulting in different addresses for a host from different locations on the network, the practice of grouping many hosts together behind a single IP address, etc. Most fundamentally, most users find DNS domain names much easier to work with than IP addresses, which is why the domain name system was designed in the first place. We prefer to define best practices for the much more common use case and not to complicate the rules in this specification. "
另见: https : //stackoverflow.com/questions/8443081/how-are-ssl-certificate-server-names-resolved-can-i-add-alternative-names-using
这取决于CA. 我知道Comodo InstantSSL将允许一个IP地址。 这是一个业务validation的SSL证书。