申请 SSL 证书时可以使用 IP 地址作为 FQDN 吗?

申请 SSL 证书时可以使用 IP 地址作为 FQDN 吗?

填写 SSL 证书申请时,IP 地址可以用作“通用名称”吗?

更新: 我们有一个新的生产设备,没有公共域名。只有公共 IP。但我们需要申请 SSL 证书。我正在处理域名,但与此同时,如果我可以仅使用公共 IP 来推动证书请求,那么我就可以继续工作。

答案1

根据:RFC6125是的,这是可能的。但是 SSL 客户端可能不完全兼容,您必须测试所有支持的 SSL 客户端,以了解它们如何执行证书验证。

“客户端确定参考身份的类型(例如,DNS名称或IP地址),并在参考
身份和相应类型的每个subjectAltName值之间进行比较
,直到产生匹配为止。一旦产生匹配,服务器的
身份就已得到验证,并且服务器身份检查已
完成。不同的subjectAltName类型以不同的方式匹配
。第3.1.3.1 - 3.1.3.3节解释了如何比较
各种subjectAltName类型的值。”

“3.1.3.2. IP地址比较

当引用标识是 IP 地址时,必须将标识转换为“网络字节顺序”八位字节字符串表示
[IP] [IPv6]。对于 IP 版本 4,如 RFC 791 中所述,八位字节
字符串将恰好包含四个八位字节。对于 IP 版本 6,如
RFC 2460 中所述,八位字节字符串将恰好包含十六个
八位字节。然后将此八位字节字符串与 iPAddress 类型的 subjectAltName 值进行比较
。如果引用标识八位字节字符串和值八位字节字符串相同,则匹配

“o 除完全限定 DNS 域名之外的标识符。

  Some certification authorities issue server certificates based on
  IP addresses, but preliminary evidence indicates that such
  certificates are a very small percentage (less than 1%) of issued
  certificates.  Furthermore, IP addresses are not necessarily
  reliable identifiers for application services because of the
  existence of private internets [PRIVATE], host mobility, multiple
  interfaces on a given host, Network Address Translators (NATs)
  resulting in different addresses for a host from different
  locations on the network, the practice of grouping many hosts
  together behind a single IP address, etc.  Most fundamentally,
  most users find DNS domain names much easier to work with than IP
  addresses, which is why the domain name system was designed in the
  first place.  We prefer to define best practices for the much more
  common use case and not to complicate the rules in this
  specification. "

也可以看看:https://stackoverflow.com/questions/8443081/how-are-ssl-certificate-server-names-resolved-can-i-add-alternative-names-using

答案2

这取决于 CA。我知道 Comodo InstantSSL 将允许 IP 地址。它是企业验证的 SSL 证书。

答案3

您可以从以下位置获取公共 IP 的 SSL零 SSL。他们甚至提供 30 天的试用期。您可以免费创建 3 个证书。此外,他们还有易于集成的自解释文档。一旦您能够生成和使用 SSL,您就可以稍后购买。

由于您需要将其用于 IIS,因此您将需要 .pfx 格式的证书,您可以使用以下方式创建该证书openssl从您从 zero ssl 获得的证书中获取。检查此关联为 IIS 生成 .pfx。

注意:我与 ZeroSSL 没有任何关系。针对问题中提到的确切情况,我使用了 ZeroSSL 的 SSL 证书。

相关内容