1
我需要創建一個證書,它將用作隔離局域網中任意隨機主機上的TLS服務器權限。爲了這個目的,我可以在subjectAlternativeName字段中使用IP的一些通配符,而不是像10.0.0.255或10.0.0.0/24的域名?證書subjectAlternativeName與通配符IP
P.S.在局域網中的任何主機可以是客戶端,服務器,其可以在任何主機上啓動並連接到後面負載balanser,其在該摺痕網絡管理連接)
A
回答
6
在這裏的流體動貪婪的分佈式網絡是什麼RFC 2818(假設你在談論HTTPS)必須對這個說:
In some cases, the URI is specified as an IP address rather than a hostname. In this case, the iPAddress subjectAltName must be present in the certificate and must exactly match the IP in the URI.
這將排除通配符或子網符號的使用。
最近的RFC 6125旨在協調跨越其他協議的標識,明確地將IP地址從其範圍中排除。
這就是說,您可能會發現有一些不符合規定的客戶端有自己的解釋(例如,有些允許在主題DN的CN中使用IP地址)。我不會建議一般地指望它。
你想在所謂的「隔離局域網」上使用TLS似乎有點令人驚訝。另外,如果你在控制局域網,你可以爲你的機器分配名稱並使用主機名匹配。
相關問題
- 1. SNI與IIS通配符證書8.5
- 2. SSL證書通配符
- 3. SSL通配符證書
- 4. 安裝2通配符SSL證書在一個靜態IP
- 5. 檢查證書是否爲通配符證書
- 6. Silverlight和通配符SSL證書
- 7. 子域的通配符SSL證書/ sub.sub.domain.com
- 8. IIS 7和SSL通配符證書
- 9. 管理和存儲通配符證書
- 10. Cloud66上的通配符SSL證書
- 11. 雙語域通配符SSL證書?
- 12. SSL證書SAN或通配符?
- 13. SSL通配符證書指紋
- 14. 通配符IP與MySQL禁止
- 15. 證書中的主機名在通配符證書上不匹配
- 16. 通過TCP/IP連接的SSL證書
- 17. 對Kubernetes 1.3使用通配符和非通配符TLS證書Ingress
- 18. 如何將WinCE配置爲使用通配符SSL證書?
- 19. 訂購可以派生服務器證書的SSL *通配符*證書
- 20. 通配符證書和不同CA上的站點特定證書共享Cookie?
- 21. 基於IP的SSL證書
- 22. IIS證書與Windows證書
- 23. 我的證書中推送通知配置證書問題
- 24. 將SSL通配證書導入Tomcat
- 25. 與驗證證書
- 26. NGINX錯誤配置SSL證書 - 域名與證書通用名稱或SAN不匹配
- 27. 多個站點的通配符Azure證書
- 28. nginx和一個域的兩個證書(EV nad通配符)
- 29. 通配符證書是否支持嵌套子域?
- 30. 通配符證書,但子域失敗瀏覽器檢查
這是解決貪婪的科學任務,它是8年前設計的大學/ 16個沒有DHCP服務器的局域網。我在這個網絡中設置了dhcp3,但是很多主機出現了,它們被配置爲靜態IP,沒有正確的域或主機名設置,所以我無法想象創建通用證書的通配符域。 使用的軟件允許通過自己的協議使用SSL建立安全連接,我需要在那個貪婪中實現加密。但我只能使用IP通配符,因此我不知道如何創建此證書,或者作爲替代創建65536服務器證書。 – elser
假設您的意思是「網格」,而不是「貪婪」? – Bruno
是的。我發現我的問題的決定 - 我是創建腳本,它根據內部網站上的表單信息生成證書,其中需要主機域字段,並設置核心以拒絕打開連接並提供有關需求的通知,並鏈接到證書註冊頁面問題。您的權利 - 無法在證書中添加通配符IP - 只能指定域通配符。 – elser