Genel bir IP adresi için SSL sertifikası?

Bir Comodo Positive SSL satın almayı denedim, ancak genel bir IP adresini desteklemediği için reddedildi, ancak bunun yerine yalnızca bir alan adını destekliyorlar.

Alan adı yerine genel IP adresini destekleyen herhangi bir SSL sertifika sağlayıcısı bilen var mı?

Şirketim, birden fazla proje (birden çok istemci için) için bir hata izleme çalıştırmak için kullanılan bir web hosting şirketi ile barındırılan özel bir sunucuya sahiptir. Yalnızca bir hata takipçisi için kullanıldığından, bir alan adına ihtiyacımız yoktur (müşterilerimiz tarayıcılarına genel IP'yi yazarak buna erişir).

Bence bunu yapabilirsin, ama yapmaya çalıştığın gibi değil.

SSL sertifikası, genel şifreleme anahtarını bir CN veya Ortak Ad öğesi içeren bir X.500 yapısına bağlayan bir ifadedir; imzalı bir sertifika, bağlantının son kullanıcılar tarafından zaten bilinen bir ortak anahtar (tarayıcınızın içinde yaşayan Sertifika Yetkilisi (CA) sertifikaları yığını) kullanılarak üçüncü taraf bir sertifika yetkilisi tarafından doğrulanabileceği bir sertifikadır.

Tarayıcı ile SSL güvenli bir web sitesini ziyaret ettiğinizde, imzalanan CN tarayıcı tarafından bilinir. Tarayıcının onunla yapmayı seçtiği şey tarayıcıya bağlıdır. Farkında olduğum tarayıcılar bunu istenen ana bilgisayar adıyla karşılaştırıyorsa ve farklıysa (veya bu sertifikalı bağlamanın analize dayanamaması durumunda hata veriyor, örn. İmzalama sertifikası tarayıcı tarafından bilinmiyorsa veya bağlanma dışarıda ise) ancak bu farklı bir konudur). Prensipte, CN'nin bir FQDN (tam nitelikli alan adı) değil, bir IP adresi olduğu, genel olarak imzalı bir sertifika almanızı engelleyen hiçbir şey yoktur, ancak bu, tarayıcının CN ile IP'yi sihirli bir şekilde karşılaştırmasını sağlamaz. istenen ana makine adı yerine adres .

Sorununuzu çözmenin en basit yolunun, kendi CA'nızı başlatmaktır, ki bu kolay bir işlemdir ve hakkında birçok genel ders vardır; biri burada . Son kullanıcılarınız CA'nızı tarayıcılarına aktardıktan sonra, nane eklediğiniz tüm sertifikalar yetkili olarak kabul edilir.

Daha sonra tek bir IP adresinde çok sayıda NameVirtualHost sitesi çalıştırmak istediğinizde ikinci bir sorun yaşayabilirsiniz. (TLS'den farklı olarak) SSL görüşmesi bir bağlantıdaki herhangi bir şeyden önce gerçekleştiğinden, bu tarihsel olarak çözülemezdi; yani, sertifikanıza gömülü CN , istemci hangi ana bilgisayara bağlanmaya çalıştıklarını söyleyebilmeden önce istemci tarafından bilinir ve kullanılır .

Son zamanlarda, SNI (Sunucu Adı Gösterimi) adlı bir protokol uzantısı getirilmiş gibi görünüyor, bu da istemci ve sunucunun SSL sertifikası sunulmadan önce bazı ana bilgisayar adı şeyler yapmak istediklerini belirterek kümenin sağına izin veriyor sunucu tarafından verilecek sertifikaların listesi. Görünüşe göre bu apache 2.2.10, yeterince yeni bir OpenSSL sürümü ve (daha önemlisi ) istemci tarafı desteği gerektiriyor.

Yapmaya çalıştığım şeyi yapmak zorunda kalsaydım, kendi CA sertifikamı bastırarak, son kullanıcılara SNI'yi destekleyen ve CA kök sertifikamı içe aktaran tarayıcıları kullanmaları gerektiğini ve her bugtrack sitesi için kendi SSL sertifikalarımı imzalamak.

[1] Tamam, bunu yapacak birini bulamayabilirsiniz, ancak bu bir uygulama detayıdır. Burada göstermeye çalıştığım şey, yapsanız bile sorununuzu çözmeyeceğidir.

Tüm büyük tarayıcılarla önceden doldurulmuş ve genel IP adreslerinde SSL sertifikaları yayınlayan bir Kök Sertifika Yetkilisi var : GlobalSign'a bir göz atın . Sertifika isteğinizi doğrulamak için RIPE bilgilerini okurlar, bu nedenle önce RIPE girişinin doğru adda yayınlandığını kontrol etmek isteyebilirsiniz.

Geri bildirimle ilgili olarak, bu giriş kazanmıştır:

Evet , bir alan adı satın almak ve bu CN'de bir SSL sertifikası vermek tercih edilir. Ayrıca yukarıdaki GlobalSign seçeneğinden daha ucuzdur.

Ancak , CN olarak genel IP'ye sahip SSL sertifikalarının yararlı olduğu durumlar vardır. Birçok internet sağlayıcısı ve hükümeti, DNS altyapısına dayalı olarak istenmeyen siteleri engeller. Örneğin politik nedenlerle engellenmesi muhtemel bir tür site öneriyorsanız, bu sitenin genel IP adresi üzerinden erişilebilir olması iyi bir seçenektir. Aynı zamanda, olacak bu kullanıcılar için şifrelemek trafiğe istiyoruz ve sertifikanın CN uymuyor çünkü (sizin olmayan teknoloji kullanıcıların tarayıcı güvenlik istisna uyarıları yoluyla tıklayarak güçlük geçmesi istemiyoruz girilen gerçek). Kendi Kök CA'nızı yüklemelerini sağlamak, daha da zahmetli ve gerçekçi değil.

Devam edin ve alan adını satın alın. Ucuzlar, bundan daha ucuz olma. Sadece birine ihtiyacın var. Belki de bugtracker.yourcompany.com'u kurmuş olabilirsiniz.

Ardından, her hata takipçisi için bu ad için bir alt alan adı ayarlayın. Bu alt alan adlarının her biri için bir SSL sertifikası alın. Özellikle maliyetten uzak göründüğünüz için, iş yapmak istediğiniz şirketin adı StartSSL'dir.

http://www.startssl.com/

Bunları kullanmak istemenizin nedeni, (büyük tarayıcılar tarafından güvenilir olmanın yanı sıra) sertifikalarının bir kola ve bacağa mal olmamasıdır. En temel sertifika türü gerçekten, dürüst olmak gerekirse, boksuzdur. Kimliğinizi doğrularlar ve daha sonra ihtiyacınız olduğu kadar yayınlamanızı sağlarlar. Daha zengin sertifikalar istiyorsanız (normalde birkaç yüz dolara mal olur), tek bir IP'de birden çok alan adı için SSL'yi desteklemek için 2 yıl boyunca yaklaşık 50 ABD Doları'na bakıyorsunuz.

Ne almak için süper ucuz. Müşterilerinizin tarayıcılarının güvendiği gerçek sertifikalar yayınlarlar ve diğer yerler gibi 90 günlük denemeler yapmazlar.