it-swarm.com.de

kann man SSL auf eine IP-Adresse oder nur auf den Domainnamen eines Webservers setzen?

Können Sie in einer Webanwendung, die keinen Domainnamen hat (wie zum Beispiel einen Webdienst), einer IP-Adresse noch ein SSL-Zertifikat hinzufügen?

Wenn ja wie

27
Blankman

Sie können eine IP-Adresse problemlos in den CN (Common Name) eines SSL-Zertifikats einfügen, indem Sie dasselbe Verfahren wie für einen gewöhnlichen Hostnamen verwenden (SSL-Zertifikate enthalten Hostnamen, keine Domänennamen).

Wie dies genau in Ihrem Fall geschieht, kann nicht beantwortet werden, da Sie nicht angegeben haben, was Ihr Fall ist.

Browser sollten die CN eines Zertifikats mit den Angaben des Benutzers in die URL-Leiste vergleichen. Wenn es sich um eine IP-Adresse handelt, handelt es sich um eine IP-Adresse.

31
user3850

Diese Site bietet Zertifikate für IP-Adressen. Sie können ein Zertifikat jedoch nicht (richtig) für einen Domänennamen für eine IP-Adresse verwenden.

4
Garret Heaton

Ja du kannst, aber es ist nicht üblich, wahrscheinlich nicht tragbar und normalerweise keine gute Idee ...

Öffentliche IP-Adresse

Ein SSL-Zertifikat wird normalerweise an einen Fully Qualified Domain Name (FQDN) ausgestellt. Die Aussteller können jedoch weiterhin SSL-Zertifikate für eine öffentliche IP-Adresse anbieten, die normalerweise im CN und SAN Werte des Zertifikats, da diese historisch auf unterschiedliche Arten/Browser-Versionen unterschiedlich referenziert werden. Die Einrichtung kann jedoch nur in Premium-Produkten angeboten werden, z. B. ein ' Organization Validated ' (OV) -Zertifikat für eine gesamte Organisation oder ein ' Extended Validation ' (EV) -Zertifikat, das erforderlich ist strenge Prüfung beim Erwerb.

Privater IP-Adressraum (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8)

Im November 2015 untersagte das CA/Browser Forum die Verwendung interner Servernamen und reservierter IP-Adressen in öffentlich vertrauenswürdigen SSL-Zertifikaten. Einige Aussteller bieten jedoch weiterhin ' Intranet Certificate ' Dienste an, mit denen Unternehmen weiterhin SSL an interne Servernamen und reservierte IP-Adressen ausgeben können, ohne dass sie eine eigene Zertifizierungsstelle verwenden oder selbst signierte Zertifikate verwenden müssen die eigenen nicht öffentlichen CA des Emittenten.

In diesem Szenario können interne Servernamen und reservierte IP-Adressen in den Werten CN und SAN des Zertifikats gespeichert werden. Diese Optionen können auch Optionen zulassen, die ansonsten unter öffentlichen Hierarchien nicht zulässig wären, z. B. die Verwendung von SHA-1- und 4-5-Jahres-Zertifikaten usw. Darüber hinaus können Sie interne, FQDNs, Subdomains, Platzhalter und öffentliche IP-Adressen in ein System mischen Einzelzertifikat unter einer nicht öffentlichen Wurzel. 

0
Gavin Jackson