内容简介:昨天写“公共DNS服务器整理”一文整理素材时,访问恕我孤陋寡闻,这是生平第一次见到以”https”方式访问公网IP(当然CF DNS的另一个IP也是以https方式访问:”
问题
昨天写“公共DNS服务器整理”一文整理素材时,访问 Cloudflare 公共DNS服务的官网,发现网站竟然是“ https://1.1.1.1 ”!
恕我孤陋寡闻,这是生平第一次见到以”https”方式访问公网IP(当然CF DNS的另一个IP也是以https方式访问:” https://1.0.0.1 “)。用多款浏览器测试,均认为这是一个合法的请求地址。查看证书,是由DigiCert签发的合法证书:
可以明确以下事实:
1.1.1.1 .1 1.1.1.1
总结起来一句话:能给IP颁发合法SSL证书?
解答
在superuser网站上,有类似的疑惑: Why does my browser think that https://1.1.1.1 is secure? 。根据网友答案, 可以给公网IP颁发证书,但罕见 。
确认可以为IP签发证书,继续查资料,找到如下信息:
- 能签发证书的IP只能是 公网IP ;
- 只能签发OV证书 ;要 验证企业名称合法性 ,以及根据whois信息 验证对IP的所有权 。
根据第二条, 个人不能为IP申请证书 ;如果没有IP所有权,企业或机构从云厂商获取到的IP也不能申请证书,因为有使用权但没有所有权。域名比IP(相对)更容易获取,并且一个域名可以对应多个IP,故而极少有为IP申请证书的情况。
测试
弄清楚其中道理,接下来验证一下与理论是否相符。
Let’s Encrypt
先请出免费获取证书的 Let's Encrypt
的 certbot
工具,尝试为IP颁发证书,输出如下:
[<a href="/cdn-cgi/l/email-protection" data-cfemail="93e1fcfce7d3ebebebeb">[email protected]</a> ~]# certbot certonly --standalone -d xxx.xxx.xxx.xxx Requested name xxx.xxx.xxx.xxx is an IP address. The Let's Encrypt certificate authority will not issue certificates for a bare IP address.
结论:Let's Encrypt不能为IP签发证书!
DigiCert
接着尝试从证书颁发机构获取。在 DigiCert
的订单页面,主机名一栏对输入数据的反馈如下:
-
公网IP
结论:公网IP可以获取SSL证书!
-
内网IP
结论:不能为内网IP签发SSL证书!
-
域名
结论:毫无疑问是没问题的
测试结果与理论相符(付款及后续步骤没验证)。
参考
以上所述就是小编给大家介绍的《为IP签发SSL证书》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 创建私有CA并签发证书
- 为IP签发SSL证书
- 生成根证书CA及签发子证书及配置站点实践
- 本地建立CA签发数字证书
- HTTPS心得笔记之OpenSSL生成root CA及签发证书
- GDCA 误签发已停止支持的 1024bit SSL 数字证书
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
疯狂Java讲义
李刚 / 电子工业出版社 / 2008-10 / 99.00元
《疯狂Java讲义》2000年至今,Java语言一直是应用最广的开发语言,并拥有最广泛的开发人群。如今,Java已经不再简单地是一门语言,它更像一个完整的体系,一个系统的开发平台。更甚至,它被延伸成一种开源精神。 《疯狂Java讲义》深入介绍了Java编程的相关方面,全书内容覆盖了Java的基本语法结构、Java的面向对象特征、Java集合框架体系、Java泛型、异常处理、Java GUI编......一起来看看 《疯狂Java讲义》 这本书的介绍吧!
