Можно ли использовать IP-адрес в качестве «Общего имени» при заполнении запроса на сертификат SSL?
Обновить: У нас есть новая производственная коробка, у которой нет публичного доменного имени. Просто публичный IP. Но нам нужно запросить сертификат SSL. Я работаю над доменным именем, но тем временем, если я могу протолкнуть запрос сертификата только с общедоступным IP-адресом, я могу продолжить работу.
В соответствии с: RFC6125 , Да, это возможно. Однако клиент SSL может быть не полностью совместимым, и вам необходимо протестировать все поддерживаемые клиенты SSL, чтобы увидеть, как они выполняют проверку сертификата.
"Клиент определяет тип (например, DNS-имя или IP-адрес) ссылочного идентификатора и выполняет сравнение ссылочного
identity и каждое значение subjectAltName соответствующего типа
пока не будет произведена спичка. Как только совпадение произведено, сервер
личность была подтверждена, и проверка идентичности сервера
полный. Разные типы subjectAltName совпадают в разных
способами. В разделах 3.1.3.1 - 3.1.3.3 объясняется, как сравнивать значения
различные типы subjectAltName. "
.
«3.1.3.2. Сравнение IP-адресов
Когда эталонным идентификатором является IP-адрес, идентификатор ДОЛЖЕН быть преобразован в представление строки октетов «сетевой порядок байтов».
[IP] [IPv6]. Для IP версии 4, как указано в RFC 791, октет
строка будет содержать ровно четыре октета. Для IP версии 6, как
указанного в RFC 2460, строка октетов будет содержать ровно шестнадцать
октеты. Затем эта строка октета сравнивается с subjectAltName.
значения типа iPAddress. Соответствие происходит, если эталонный идентификатор
строка октета и строка октета значения идентичны. "
.
"o Идентификаторы, кроме полных доменных имен DNS.
Some certification authorities issue server certificates based on IP addresses, but preliminary evidence indicates that such certificates are a very small percentage (less than 1%) of issued certificates. Furthermore, IP addresses are not necessarily reliable identifiers for application services because of the existence of private internets [PRIVATE], host mobility, multiple interfaces on a given host, Network Address Translators (NATs) resulting in different addresses for a host from different locations on the network, the practice of grouping many hosts together behind a single IP address, etc. Most fundamentally, most users find DNS domain names much easier to work with than IP addresses, which is why the domain name system was designed in the first place. We prefer to define best practices for the much more common use case and not to complicate the rules in this specification. "
Смотрите также: https://stackoverflow.com/questions/8443081/how-are-ssl-certificate-server-names-resolved-can-i-add-alternative-names-using
Это зависит от CA. Я знаю, что Comodo InstantSSL разрешит IP-адрес. Это проверенный бизнес-сертификат SSL.