我正在尝试加密 IoT 设备和我的服务器之间的数据,因此我使用自签名证书(目前使用 OpenSSL)。现在我遇到了一个问题,证书中的通用名称需要是完全限定域名 (FQDN),但我在 Cloudflare 上管理我的域,它不允许我通过他们的代理路由 TCP 流量(免费计划)。
我现在能做的是直接通过服务器的 IP 指向流量,并将证书中的通用名称 (CN) 添加为服务器的 IP。这样做的问题是:
- 维护所有服务器的证书,因为服务器 IP 可能会发生变化
- 我不认为将 IP 添加为 FQDN 是一种好的做法
由于 Cloudflare 不允许我通过它们代理 TCP 请求,我该怎么做才能通过 DNS 路由流量?
另外,如果我使用自己维护的分层 PKI,上述设置会出现什么问题?
此外,如果当前设置有任何问题,请告诉我。