logo标签列表

通配符IP的证书主题备用名称

sslcertificatewildcard
6
我需要创建一个证书,用作隔离局域网中任意主机的TLS服务器授权。我可以在subjectAlternativeName字段中使用通配符IP而不是像10.0.0.255或10.0.0.0/24这样的域名吗?
注:LAN中的任何主机都可以作为分布式服务器网络的客户端,这些服务器可以在任何主机上启动,并连接到负载均衡器后面的流体动态贪婪,该负载均衡器管理此增量网络中的连接。
1个回答
12

以下是RFC 2818(假设您正在谈论HTTPS)对此的解释:

In some cases, the URI is specified as an IP address rather than a 
hostname. In this case, the iPAddress subjectAltName must be present  
in the certificate and must exactly match the IP in the URI.
这将排除使用通配符或子网表示法。 更近期的RFC 6125旨在在其他协议中协调标识,明确排除了IP地址。 话虽如此,您可能会发现一些不合规的客户端具有自己的解释(例如,有些允许在主题DN的CN中使用IP地址)。我通常不推荐依赖它。 您称之为“隔离型LAN”的地方要使用TLS似乎有点令人惊讶。另外,如果您控制该LAN,则可以为计算机分配名称并使用主机名匹配。
这是一个解决贪婪算法的科学任务,它是8年前设计的,作为一个没有DHCP服务器的大学/16 LAN。我在这个网络中设置了dhcp3,但有许多主机被配置为静态IP,并且没有正确的域或主机名设置,所以我无法想象通配符域来创建通用证书。使用的软件允许使用SSL建立安全连接,并且我需要在该贪婪算法中实现加密。但我只能使用IP通配符,所以我无论如何都无法创建此证书,或者作为替代方案,创建65536个服务器证书。 - elser
3
你的意思应该是“网格”(grid),而不是“贪婪”(greed)吧? - Bruno
是的,我找到了解决我的问题的方法 - 我创建了一个脚本,根据内部网站表单上的信息生成证书,其中需要主机域字段,并设置核心以拒绝开放连接并通知要求和链接到证书发行的注册页面。你是对的 - 无法在证书中添加通配符IP地址,只能指定域名通配符。 - elser
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接