Защита публичного IP-адреса - SSL-сертификаты

13 нояб. 2024 г.

Защита публичного IP-адреса - SSL-сертификаты

Введение

Сертификат SSL обычно выдается для полного квалифицированного доменного имени (FQDN), такого как https://www.example.com. Однако некоторым организациям требуется сертификат SSL для публичного IP-адреса. GlobalSign предлагает поддержку IP-адресов в сертификатах SSL как в Common Name, так и в качестве альтернативного имени субъекта (SAN).

Заказ и совместимость

Публичные IP-адреса поддерживаются сертификатами GlobalSign OrganizationSSL. Другие варианты, такие как DomainSSL  и ExtendedSSL, не поддерживают защиту IP-адреса. Хотя IP-адрес может быть указан как обычное имя или как альтернативное имя субъекта, существуют вопросы совместимости, которые следует принять во внимание, прежде чем принимать решение о порядке заказа.

Если вы ориентируетесь на Windows 10 и более поздние версии, вы можете указать IP-адрес в любом поле. Однако, если вы ориентируетесь на Windows 8.1 и более ранние версии, вам следует указать только IP-адрес в качестве Common Name.

Для обеспечения соответствия RFC 5280 альтернативные имена субъектов имеют значение, определяющее тип содержимого. Например, SAN для www.example.com будет указан как dNSName, а SAN для 123.456.78.90 будет указан как iPAddress. Правильная обработка для типа iPAddress SAN была добавлена ​​в Windows 10, версии до этой версии не будут правильно обрабатывать iPAddress SAN.

По этой причине, если вам необходимо настроить работу сертификата на версии Windows вплоть до 10, закажите сертификат с IP-адресом в качестве Common Name; более ранние версии Windows будут выполнять проверку по Common Name вместо записи iPAddress SAN.

Примечание. В сертификатах OrganizationSSL можно использовать только общедоступные IP-адреса. Вы должны быть владельцем общедоступного IP-адреса в соответствии с записями, хранящимися в Центре координации сети RIPE (NCC). Внутренние IP-адреса могут быть защищены сертификатами GlobalSign IntranetSSL.