为IP签发SSL证书

问题

昨天写“公共DNS服务器整理”一文整理素材时，访问 Cloudflare 公共DNS服务的官网，发现网站竟然是“ https://1.1.1.1 ”!

恕我孤陋寡闻，这是生平第一次见到以”https”方式访问公网IP（当然CF DNS的另一个IP也是以https方式访问：” https://1.0.0.1 “）。用多款浏览器测试，均认为这是一个合法的请求地址。查看证书，是由DigiCert签发的合法证书：

可以明确以下事实：

1.1.1.1
.1
1.1.1.1

总结起来一句话：能给IP颁发合法SSL证书？

解答

在superuser网站上，有类似的疑惑： Why does my browser think that https://1.1.1.1 is secure? 。根据网友答案， 可以给公网IP颁发证书，但罕见 。

确认可以为IP签发证书，继续查资料，找到如下信息：

1. 能签发证书的IP只能是 公网IP ；
2. 只能签发OV证书 ；要 验证企业名称合法性 ，以及根据whois信息 验证对IP的所有权 。

根据第二条， 个人不能为IP申请证书 ；如果没有IP所有权，企业或机构从云厂商获取到的IP也不能申请证书，因为有使用权但没有所有权。域名比IP(相对)更容易获取，并且一个域名可以对应多个IP，故而极少有为IP申请证书的情况。

测试

弄清楚其中道理，接下来验证一下与理论是否相符。

Let’s Encrypt

先请出免费获取证书的 Let's Encrypt 的 certbot 工具，尝试为IP颁发证书，输出如下：

[<a href="/cdn-cgi/l/email-protection" data-cfemail="93e1fcfce7d3ebebebeb">[email protected]</a> ~]# certbot certonly --standalone -d xxx.xxx.xxx.xxx
Requested name xxx.xxx.xxx.xxx is an IP address. The Let's Encrypt certificate authority will not issue certificates for a bare IP address.

结论：Let's Encrypt不能为IP签发证书！

DigiCert

接着尝试从证书颁发机构获取。在 DigiCert 的订单页面，主机名一栏对输入数据的反馈如下：

1. 公网IP

   

   结论：公网IP可以获取SSL证书！

2. 内网IP

   

   结论：不能为内网IP签发SSL证书！

3. 域名

   

   结论：毫无疑问是没问题的

测试结果与理论相符（付款及后续步骤没验证）。

参考

1. superuser: Why does my browser think that https://1.1.1.1 is secure?
2. LeaderSSL: Issuing SSL certificate for an IP address
3. DV型、OV型、EV型证书的主要区别