Um endereço IP pode ser usado como o FQDN ao solicitar um certificado SSL?

1

Ao preencher uma solicitação para um Certificado SSL, o endereço IP pode ser usado para o "Nome comum"?

update: Temos uma nova caixa de produção que não possui um nome de domínio público. Apenas um IP público. Mas precisamos solicitar um certificado SSL. Estou trabalhando no nome do domínio, mas, enquanto isso, se eu conseguir enviar uma solicitação cert com apenas o IP público, posso manter algo em movimento.

    
por もしもし 30.04.2013 / 19:00

2 respostas

3

De acordo com: RFC6125 , sim, é possível. No entanto, o cliente SSL pode não ser totalmente compatível e você precisa testar todos os seus clientes SSL suportados para ver como eles estão executando a validação do certificado.

"The client determines the type (e.g., DNS name or IP address) of the reference identity and performs a comparison between the reference
identity and each subjectAltName value of the corresponding type
until a match is produced. Once a match is produced, the server's
identity has been verified, and the server identity check is
complete. Different subjectAltName types are matched in different
ways. Sections 3.1.3.1 - 3.1.3.3 explain how to compare values of
various subjectAltName types. "

.

"3.1.3.2. Comparison of IP Addresses

When the reference identity is an IP address, the identity MUST be converted to the "network byte order" octet string representation
[IP] [IPv6]. For IP Version 4, as specified in RFC 791, the octet
string will contain exactly four octets. For IP Version 6, as
specified in RFC 2460, the octet string will contain exactly sixteen
octets. This octet string is then compared against subjectAltName
values of type iPAddress. A match occurs if the reference identity
octet string and value octet strings are identical."

.

" o Identifiers other than fully qualified DNS domain names.

  Some certification authorities issue server certificates based on
  IP addresses, but preliminary evidence indicates that such
  certificates are a very small percentage (less than 1%) of issued
  certificates.  Furthermore, IP addresses are not necessarily
  reliable identifiers for application services because of the
  existence of private internets [PRIVATE], host mobility, multiple
  interfaces on a given host, Network Address Translators (NATs)
  resulting in different addresses for a host from different
  locations on the network, the practice of grouping many hosts
  together behind a single IP address, etc.  Most fundamentally,
  most users find DNS domain names much easier to work with than IP
  addresses, which is why the domain name system was designed in the
  first place.  We prefer to define best practices for the much more
  common use case and not to complicate the rules in this
  specification. "

Veja também: link

    
por 30.04.2013 / 19:15
0

Depende da CA. Eu sei que o Comodo InstantSSL permitirá um endereço IP. É um certificado SSL validado para empresas.

    
por 13.05.2013 / 21:31