发出不带 cname 的 TLS

Question 1

证书需要针对完全限定域名 (FQDN) 颁发。您不需要使用 CNAME，只需创建指向相关 IP 地址的 A 记录即可。

颁发证书的 CA 需要能够验证域名的所有权。

如果您愿意，您可以轻松使用现有域名的子域名。只需提供子域名（例如 foo-server.example.com）作为证书的 CommonName。

在您的问题和某些答案中，CN 和 CNAME 之间似乎存在一些混淆。

CN == CommonName 的缩写。它是颁发证书的 DN 或 DistinguishedName 的一部分。

CNAME == 规范名称的缩写。它是一种 DNS 条目，基本上使一个 FQDN 成为另一个 FQDN 的别名。

CN != CNAME。DN != FQDN。希望这有助于澄清。

Answer

证书需要针对完全限定域名 (FQDN) 颁发。您不需要使用 CNAME，只需创建指向相关 IP 地址的 A 记录即可。

颁发证书的 CA 需要能够验证域名的所有权。

如果您愿意，您可以轻松使用现有域名的子域名。只需提供子域名（例如 foo-server.example.com）作为证书的 CommonName。

在您的问题和某些答案中，CN 和 CNAME 之间似乎存在一些混淆。

CN == CommonName 的缩写。它是颁发证书的 DN 或 DistinguishedName 的一部分。

CNAME == 规范名称的缩写。它是一种 DNS 条目，基本上使一个 FQDN 成为另一个 FQDN 的别名。

CN != CNAME。DN != FQDN。希望这有助于澄清。

Question 2

当浏览器使用 X.509 证书验证站点身份时，它会将地址栏中的名称与证书本身上列出的名称进行检查。

如果您希望用户能够使用名称而不是 IP 地址连接到服务器，则在颁发证书之前，您需要知道您打算使用什么名称来连接到您的服务器（例如您的虚拟主机或主机名）。如果您计划使用多个基于名称的虚拟主机，您将在证书中列出所有名称。

Answer

当浏览器使用 X.509 证书验证站点身份时，它会将地址栏中的名称与证书本身上列出的名称进行检查。

如果您希望用户能够使用名称而不是 IP 地址连接到服务器，则在颁发证书之前，您需要知道您打算使用什么名称来连接到您的服务器（例如您的虚拟主机或主机名）。如果您计划使用多个基于名称的虚拟主机，您将在证书中列出所有名称。

Question 3

要发布的证书需要有某种名称，即使它是 test.contoso.net。如果这是内部生成的 SSL 证书，那么撤销它并创建新证书就没什么大不了的。但是，如果这是来自外部供应商（例如，Comodo、GoDaddy、Verisign 等）的 SSL 证书，那么撤销并创建新证书通常需要花钱或积分。此外，第三方不会为您不拥有的域名制作证书。

Answer

要发布的证书需要有某种名称，即使它是 test.contoso.net。如果这是内部生成的 SSL 证书，那么撤销它并创建新证书就没什么大不了的。但是，如果这是来自外部供应商（例如，Comodo、GoDaddy、Verisign 等）的 SSL 证书，那么撤销并创建新证书通常需要花钱或积分。此外，第三方不会为您不拥有的域名制作证书。

Question 4

如果您的目的是使用其 IP 地址访问您的 Web 服务器（例如http://192.168.1.10），那么就可以了。

如果您打算通过主机名（或任何其他别名）访问服务器（例如：），http://server那么您必须在请求中包含主机名和别名（cname），可能是 san。

Answer

如果您的目的是使用其 IP 地址访问您的 Web 服务器（例如http://192.168.1.10），那么就可以了。

如果您打算通过主机名（或任何其他别名）访问服务器（例如：），http://server那么您必须在请求中包含主机名和别名（cname），可能是 san。

发出不带 cname 的 TLS

答案1

答案2

答案3

答案4

相关内容