Ich habe gerade versucht, ein Comodo Positive SSL zu kaufen, aber es wurde abgelehnt, weil keine öffentliche IP-Adresse unterstützt wurde, sondern nur ein Domainname.
Kennt jemand einen SSL-Zertifikatanbieter, der eine öffentliche IP-Adresse anstelle eines Domainnamens unterstützt?
Mein Unternehmen verfügt über einen dedizierten Server, der von einem Webhosting-Unternehmen gehostet wird und auf dem ein Bugtracker für mehrere Projekte (für mehrere Clients) ausgeführt wird. Da es nur für einen Bugtracker verwendet wird, benötigen wir keinen Domainnamen (unsere Clients greifen darauf zu, indem sie die öffentliche IP in ihren Browser eingeben).
ssl-certificate
domain-name
ip-address
Serienmotor
quelle
quelle
Antworten:
Ich denke, Sie können das tun, aber nicht so, wie Sie es versuchen.
Ein SSL-Zertifikat ist eine Anweisung, die einen öffentlichen Verschlüsselungsschlüssel an eine X.500-Struktur bindet, die ein CN- oder Common Name-Element enthält. Ein signiertes Zertifikat ist ein solches Zertifikat, bei dem die Bindung nachweislich von einer Zertifizierungsstelle eines Drittanbieters unter Verwendung eines öffentlichen Schlüssels zertifiziert wird, der den Endbenutzern bereits bekannt ist (dieser Stapel von Zertifizierungsstellenzertifikaten (CA), die sich in Ihrem Browser befinden).
Wenn Sie eine SSL-gesicherte Website mit einem Browser besuchen, wird der signierte CN dem Browser bekannt gegeben. Was der Browser damit macht, hängt vom Browser ab. Die mir bekannten Browser vergleichen es mit dem angeforderten Hostnamen und geben einen Fehler aus, wenn er anders ist (oder wenn diese zertifizierte Bindung der Analyse nicht standhält, z. B. wenn das Signaturzertifikat dem Browser nicht bekannt ist oder die Bindung nicht vorhanden ist). aktuell, aber das ist ein anderes Problem). Grundsätzlich hindert Sie nichts daran, ein öffentlich signiertes Zertifikat zu erhalten, bei dem der CN eine IP-Adresse und kein FQDN (vollqualifizierter Domainname) ist [1], aber das lässt den Browser den CN nicht auf magische Weise mit der IP vergleichen Adresse, anstatt mit dem angeforderten Hostnamen .
Ich vermute, der einfachste Weg, um Ihr Problem zu lösen, besteht darin, eine eigene Zertifizierungsstelle zu starten, was einfach zu bewerkstelligen ist. Es gibt viele öffentliche Tutorials dazu. einer ist hier . Sobald Ihre Endbenutzer Ihre Zertifizierungsstelle in ihre Browser importiert haben, werden alle von Ihnen geprägten Zertifikate als maßgeblich akzeptiert.
Möglicherweise besteht dann ein zweites Problem darin, dass Sie viele NameVirtualHost-Sites unter einer einzigen IP-Adresse ausführen möchten. Dies war in der Vergangenheit unüberwindbar, da (im Gegensatz zu TLS) die SSL-Aushandlung vor allen anderen Verbindungen erfolgt. Das heißt, der in Ihr Zertifikat eingebettete CN wird dem Client bekannt gemacht und von ihm verwendet, bevor der Client sagen kann, zu welchem Host er eine Verbindung herstellen möchte.
Vor kurzem wurde anscheinend eine Protokollerweiterung mit dem Namen SNI (Server Name Indication) eingeführt, mit der Client und Server angeben können, dass sie einige Hostnamen-Aufgaben ausführen möchten, bevor das SSL-Zertifikat vorgelegt wird, wodurch das richtige eines Satzes zugelassen wird von Zertifikaten, die vom Server ausgestellt werden sollen. Anscheinend erfordert dies Apache 2.2.10, eine ausreichend aktuelle Version von OpenSSL, und (vor allem ) clientseitige Unterstützung.
Wenn ich also das tun müsste, was Sie versuchen, würde ich mein eigenes CA-Zertifikat prägen, meinen Endbenutzern mitteilen, dass sie Browser verwenden müssen, die SNI unterstützen und mein CA-Stammzertifikat importieren, und schneiden und Signieren meiner eigenen SSL-Zertifikate für jede Bugtrack-Site.
[1] OK, Sie haben möglicherweise niemanden gefunden, der dies tun wird, aber das ist ein Implementierungsdetail. Was ich hier zeigen möchte, ist, dass es Ihr Problem nicht lösen würde, selbst wenn Sie es tun würden.
quelle
Es gibt eine Stammzertifizierungsstelle, von der ich weiß, dass sie mit allen gängigen Browsern gefüllt ist und SSL-Zertifikate für öffentliche IP-Adressen ausstellt: Schauen Sie sich GlobalSign an . Sie lesen RIPE-Informationen vor, um Ihre Zertifikatanforderung zu validieren. Daher möchten Sie möglicherweise zuerst überprüfen, ob der RIPE-Eintrag mit dem richtigen Namen ausgegeben wird.
In Bezug auf das Feedback hat dieser Eintrag erhalten:
Ja , es ist vorzuziehen, einen Domainnamen zu kaufen und ein SSL-Zertifikat für diesen CN auszustellen. Es ist auch billiger als die oben genannte GlobalSign-Option.
Es gibt jedoch Fälle, in denen SSL-Zertifikate mit einer öffentlichen IP als CN nützlich sind. Viele Internetanbieter und Regierungen blockieren unerwünschte Websites basierend auf der DNS-Infrastruktur. Wenn Sie eine Website anbieten, die wahrscheinlich aus politischen Gründen blockiert wird, ist es eine gute Option, diese Website über ihre öffentliche IP-Adresse zugänglich zu machen. Zur gleichen Zeit, Sie werden für die Benutzer zu verschlüsseln Verkehr wollen , und Sie wollen nicht Ihr nicht-Tech - Benutzer durch lästiges Klicken durch die Sicherheits Ausnahme Warnungen ihres Browsers gehen (weil der CN des Zertifikats nicht überein der tatsächlich eingegebene). Es ist noch mühsamer und nicht realistisch, sie dazu zu bringen, Ihre eigene Stammzertifizierungsstelle zu installieren.
quelle
Gehen Sie voran und kaufen Sie den Domainnamen. Sie sind billig, nicht billiger als das. Du brauchst nur einen. Vielleicht richten Sie sogar einfach bugtracker.yourcompany.com ein.
Richten Sie dann für jeden Bugtracker eine Subdomain für diesen Namen ein. Holen Sie sich ein SSL-Zertifikat für jede dieser Subdomains. Da Sie besonders kostenavers erscheinen, heißt das Unternehmen, mit dem Sie Geschäfte machen möchten, StartSSL.
http://www.startssl.com/
Der Grund, warum Sie sie verwenden möchten, ist, dass ihre Zertifikate (zusätzlich zu dem Vertrauen der großen Browser) keinen Arm und kein Bein kosten. Die grundlegendste Art von Zertifikat ist wirklich, ehrlich gesagt, ohne Scheiße. Sie überprüfen Ihre Identität und lassen Sie dann so viele ausstellen, wie Sie benötigen. Wenn Sie schickere Zertifikate wünschen (die normalerweise mehrere hundert Dollar kosten), sehen Sie sich 2 Jahre lang etwa 50 US-Dollar an, um SSL für mehrere Domains auf einer einzigen IP zu unterstützen.
Sie sind super billig für das, was Sie bekommen. Sie stellen echte Zertifikate aus, denen die Browser Ihrer Kunden vertrauen, und keine 90-Tage-Testversionen wie an anderen Orten.
quelle