SSL 证书中完整的通配符 CN 合法吗?

SSL 证书中完整的通配符 CN 合法吗?

我可以将 CN 指定为仅*具有来自 DHCP 的动态 IP 且没有域名的服务器吗?关键是服务器的地址是未知的并且是动态的。客户端使用广播在广播域中搜索服务器,然后他们需要通过 DTLS 连接并使用内部 CA 签名的证书验证服务器。

这个系统设计是固定的,我不是果断的人。我只是问如何在 DTLS 中创建 OpenSSL 库接受的证书,而无需明确指定服务器地址。盲目猜测是只用作*CA,但我开始担心 OpenSSL 是否会接受这样的证书。

答案1

通配符 SSL 证书需要完全限定域名 (FQDN),因此您应该为 *.yourdomain.com 申请证书。如果您的 DHCP 服务器不支持名称服务器,或者您需要应用与 DHCP 服务器租约不同的自定义名称服务器,那么您可以自行使用另一个 DNS。

要启用子域隔离,您必须使用有效的域名作为主机名,而不是 IP 地址。

来源:

https://help.github.com/enterprise/2.0/admin/articles/configuring-dns-ssl-and-subdomain-settings/

https://www.ssl2buy.com/wildcard-ssl-certificate

答案2

通配符 SSL 证书不适用于动态 IP 地址,您必须使用静态 IP。

请您清楚说明您所说的“完整通配符 SSL”是什么意思,这样我才能为您提供其他解决方案。

相关内容