Intranet Web服務器的SSL證書

Question

我有興趣爲我的公共域（例如example.com）購買通配符SSL證書，以便我們可以使用普遍認可的CA（例如GoDaddy）運行Intranet Web服務器。我打算公開發布DNS名稱（例如internal.example.com），但他們的IP地址實際上是LAN地址（例如192.,。*）。我們希望使用公共DNS，因爲這些網絡服務器實際上可能是四處旅行的開發筆記本電腦，因此我們將使用動態DNS進行更新。我們打算這些網絡服務器只能在每個當前運行的LAN上使用。

是否可以與所有客戶通用，例如TLS v1.2？

謝謝。

Answer 1

只要客戶端可以將他們的流量路由到這些IP地址，它就會工作（當然，否則您將無法獲得連接）。

證書驗證依賴於兩點：

• 驗證證書是真實的，可信的，有效的時間。

• 驗證證書的身份是否與您要查找的內容匹配（主機名驗證）。

這並不取決於DNS解析機制。這些機制也與SSL/TLS規範正交（儘管它們建議驗證遠程方的身份）。

我見過在各種客戶端和平臺（Windows，Linux/Mac上的IE，Chrome，FF和Java客戶端）上使用的這種設置，並且它工作正常。

當然，是否全部做得很好很難保證。例如，可能有一些實現認爲執行反向DNS查找是個好主意。