我希望我的网站使用诸如http://192.0.2.2/...
和https://192.0.2.2/...
作为静态内容的URL ,以避免请求中不必要的cookie并避免其他DNS请求。
有什么方法可以为此目的获取SSL证书?
我希望我的网站使用诸如http://192.0.2.2/...
和https://192.0.2.2/...
作为静态内容的URL ,以避免请求中不必要的cookie并避免其他DNS请求。
有什么方法可以为此目的获取SSL证书?
Answers:
根据此答案,这是可能的,但很少使用。
至于如何获得它:我倾向于尝试与您选择的提供者一起订购,然后在订购过程中输入IP地址而不是域。
但是,在IP地址上运行站点以避免DNS查找对我来说听起来像是不必要的微优化。您最多可以节省几毫秒,也就是每次访问最多节省几毫秒,因为DNS结果被缓存在多个级别上。
从优化的角度来看,我认为您的想法没有道理。
简短的答案是肯定的,只要它是公共IP地址即可。
不允许向保留的IP地址颁发证书,并且自2016年10月1日起,以前颁发给保留的IP地址的所有证书均被吊销。
根据CA Browser论坛,除非IP地址同时位于commonName
和subjectAltName
字段中,否则IP地址证书可能存在兼容性问题。这是由于旧版SSL实现与RFC 5280不兼容,尤其是Windows 10之前的Windows OS。
资料来源:
注意:此答案的早期版本指出,所有IP地址证书将于2016年10月1日吊销。感谢Navin指出错误。
我猜答案是肯定的。例如,检查此链接。
向公共IP地址颁发SSL证书
通常将SSL证书颁发给完全合格的域名(FQDN),例如“ https://www.domain.com ”。但是,某些组织需要颁发给公共IP地址的SSL证书。此选项使您可以在证书签名请求(CSR)中将公用IP地址指定为公用名。然后,可以将颁发的证书用于直接使用公共IP地址(例如https://123.456.78.99)保护连接的安全。
Common Name
字段仅在cloudflare-dns.com
和1.1.1.1
下方列出Certificate Subject Alt Name
。
C / A浏览器论坛设置证书中的有效内容和无效内容,以及CA应当拒绝的内容。
根据其对公共信任证书的发行和管理的基本要求,自2015年以来,CA必须在公共名称或公共备用名称字段包含保留IP或内部名称(其中保留IP地址为IP)的情况下,不颁发证书是IANA列出的保留名称(包括所有NAT IP),内部名称是在公共DNS上无法解析的任何名称。
可以使用公共IP地址(基线要求文档指定CA必须执行哪些检查以确保申请人拥有IP)。
这完全取决于颁发证书的证书颁发机构。
至于“让我们加密CA”,他们不会在公共IP地址上颁发TLS证书。 https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082
要了解您的证书颁发机构,您可以执行以下命令并查找下面标记的条目。
curl -v -u <username>:<password> "https://IPaddress/.."