it-swarm.com.de

IP-Adresse in SubjectAltName

Darf IP als DNS-Name für SAN Zertifikat) angegeben werden?

5
user3448600

Darf IP als DNS-Name für SAN Zertifikat) angegeben werden?

Zunächst sollten Sie sich darüber im Klaren sein, dass es ein bestimmtes alternatives Namensformat für iPAddress gibt, das für gepunktete Quads (IPv4) oder 16 Oktette (IPv6) ausgelegt ist. Wenn Sie eine IP-Adresse auf Ihr Zertifikat schreiben möchten, ist dies wahrscheinlich der richtige Weg. Siehe RFC 5280 Abschnitt 4.2.1.6 . Die Browser-/Client-Kompatibilität variiert.

Zweitens ist es legal, ein gepunktetes Quad in einem dNSName-Feld des SAN anzugeben. Um RFC 5280 zu zitieren,

Der Name MUSS in der "bevorzugten Namenssyntax" sein, wie in Abschnitt 3.5 von RFC1034 angegeben und in Abschnitt 2.1 von RFC112 geändert

Letzteres legt nahe, dass Software es tolerieren sollte, IP-Adressen in den Feldern "Hostname" zu finden:

Immer wenn ein Benutzer die Identität eines Internet-Hosts eingibt, sollte es möglich sein, entweder (1) einen Host-Domänennamen oder (2) eine IP-Adresse in Punkt-Dezimal-Form ("#. #. #. #") Einzugeben. Der Host sollte die Zeichenfolge syntaktisch auf eine Punkt-Dezimalzahl überprüfen, bevor er sie im Domain Name System nachschlägt.

Auch hier handelt es sich nur um RFCs, sodass Ihre Laufleistung je nach Kunde variiert.

Bitte beachten Sie auch, dass gemäß RFC 5280:

Da der alternative Name des Betreffs als endgültig an den öffentlichen Schlüssel gebunden angesehen wird, MÜSSEN alle Teile des alternativen Namens des Betreffs von der Zertifizierungsstelle überprüft werden.

Wenn Sie also eine Anfrage an eine öffentliche Zertifizierungsstelle mit beispielsweise einer privaten RFC 1918-IP-Adresse (10.1.2.3) senden, sollten diese die Unterzeichnung dieser Anfrage ablehnen. Und bei Zertifizierungsstellen, die den Besitz einer IP-Adresse überprüfen - wenn sich der "Besitz" einer IP-Adresse normalerweise vom zugewiesenen Benutzer unterscheidet - könnten die Dinge interessant werden.

4
gowenfawr

Darf IP als DNS-Name für SAN Zertifikat) angegeben werden?

Laut RFC 528 ist dNSName ein IA5String, was theoretisch bedeutet, dass Sie die Zeichenfolge einer IPv4- oder IPv6-Adresse als Zeichenfolge darin einfügen können. Und manchmal ist es auch notwendig, obwohl der richtige Typ für IP-Adressen in SAN ist iPAddress seit:

  • MSIE und MS Edge ignorieren iPAddress und erwarten den Wert als Zeichenfolge in dNSName. Gleiches gilt für Python 2.
  • chrome, Safari und Firefox erwarten jedoch keine IP-Adresse als dNSName, sondern benötigen sie als iPAddress. Gleiches gilt für Python 3.

Somit kann die beste Kompatibilität tatsächlich erreicht werden, indem die IP-Adresse sowohl als iPAddress als auch als dNSName angegeben wird.

4
Steffen Ullrich

Ja, technisch gesehen kann es zusammen mit beliebigen Domainnamen in den Betreff Alternative Name (SAN) aufgenommen werden. Die Systeme, in denen Sie das Zertifikat verwenden, können die Informationen möglicherweise korrekt verwenden oder nicht (anwendungsabhängig).

Daher ist es legal, das zu tun, was Sie wollen, aber es funktioniert möglicherweise nicht.

1
ISMSDEV

Ja, es kann auf diese Weise verwendet werden, aber es ist im Allgemeinen nur für die private Private Key-Infrastruktur sinnvoll. In diesem Fall können Sie einen privaten Server haben, der direkt mit seiner IP-Adresse verwendet wird. Daher ist es sinnvoll, ihn im Feld SAN) zu verwenden.

AFAIK wird jedoch selten (wenn überhaupt) für öffentliche PKI und öffentliche Server verwendet.

0
Serge Ballesta