填写 SSL 证书申请时,IP 地址可以用作“通用名称”吗?
更新: 我们有一个新的生产设备,没有公共域名。只有公共 IP。但我们需要申请 SSL 证书。我正在处理域名,但与此同时,如果我可以仅使用公共 IP 来推动证书请求,那么我就可以继续工作。
答案1
根据:RFC6125是的,这是可能的。但是 SSL 客户端可能不完全兼容,您必须测试所有支持的 SSL 客户端,以了解它们如何执行证书验证。
“客户端确定参考身份的类型(例如,DNS名称或IP地址),并在参考
身份和相应类型的每个subjectAltName值之间进行比较
,直到产生匹配为止。一旦产生匹配,服务器的
身份就已得到验证,并且服务器身份检查已
完成。不同的subjectAltName类型以不同的方式匹配
。第3.1.3.1 - 3.1.3.3节解释了如何比较
各种subjectAltName类型的值。”
。
“3.1.3.2. IP地址比较
当引用标识是 IP 地址时,必须将标识转换为“网络字节顺序”八位字节字符串表示
[IP] [IPv6]。对于 IP 版本 4,如 RFC 791 中所述,八位字节
字符串将恰好包含四个八位字节。对于 IP 版本 6,如
RFC 2460 中所述,八位字节字符串将恰好包含十六个
八位字节。然后将此八位字节字符串与 iPAddress 类型的 subjectAltName 值进行比较
。如果引用标识八位字节字符串和值八位字节字符串相同,则匹配
。
。
“o 除完全限定 DNS 域名之外的标识符。
Some certification authorities issue server certificates based on IP addresses, but preliminary evidence indicates that such certificates are a very small percentage (less than 1%) of issued certificates. Furthermore, IP addresses are not necessarily reliable identifiers for application services because of the existence of private internets [PRIVATE], host mobility, multiple interfaces on a given host, Network Address Translators (NATs) resulting in different addresses for a host from different locations on the network, the practice of grouping many hosts together behind a single IP address, etc. Most fundamentally, most users find DNS domain names much easier to work with than IP addresses, which is why the domain name system was designed in the first place. We prefer to define best practices for the much more common use case and not to complicate the rules in this specification. "
答案2
这取决于 CA。我知道 Comodo InstantSSL 将允许 IP 地址。它是企业验证的 SSL 证书。