Chứng chỉ SSL cho một địa chỉ IP công cộng?

Tôi mới thử mua SSL Comodo positive nhưng nó đã bị từ chối do không hỗ trợ địa chỉ IP công cộng, nhưng thay vào đó họ chỉ hỗ trợ một tên miền.

Có ai biết bất kỳ nhà cung cấp chứng chỉ SSL nào hỗ trợ địa chỉ IP công cộng thay vì tên miền không?

Công ty của tôi có một máy chủ chuyên dụng được lưu trữ với một công ty lưu trữ web, được sử dụng để chạy bugtracker cho nhiều dự án (cho nhiều khách hàng). Vì nó chỉ được sử dụng cho một bugtracker, chúng tôi không cần một tên miền (khách hàng của chúng tôi truy cập nó bằng cách nhập IP công cộng vào trình duyệt của họ).

Tôi nghĩ bạn có thể làm điều này, nhưng không phải theo cách bạn đang cố gắng thực hiện.

Chứng chỉ SSL là một câu lệnh ràng buộc khóa mã hóa công khai với cấu trúc X.500 bao gồm một phần tử CN hoặc Tên chung; chứng chỉ đã ký là một trong đó ràng buộc được chứng nhận có thể xác thực bởi cơ quan chứng nhận của bên thứ ba, sử dụng khóa công khai đã được biết đến cho người dùng cuối (ngăn xếp chứng chỉ của Cơ quan chứng nhận (CA) sống trong trình duyệt của bạn).

Khi bạn truy cập trang web được bảo mật SSL bằng trình duyệt, CN đã ký được trình duyệt biết. Những gì trình duyệt chọn để làm với nó là tùy thuộc vào trình duyệt. Các trình duyệt tôi biết so sánh nó với tên máy chủ được yêu cầu và lỗi nếu nó khác (hoặc nếu ràng buộc được chứng nhận đó không đứng vững để phân tích, ví dụ: chứng chỉ ký không được trình duyệt biết hoặc ràng buộc bị loại ra của ngày, nhưng đó là một vấn đề khác). Về nguyên tắc, không có gì ngăn bạn lấy chứng chỉ được ký công khai trong đó CN là địa chỉ IP không phải là FQDN (tên miền đủ điều kiện) [1], nhưng điều đó sẽ không làm cho trình duyệt so sánh CN với IP một cách kỳ diệu địa chỉ, thay vì với tên máy chủ được yêu cầu .

Tôi nghi ngờ cách đơn giản nhất để giải quyết vấn đề của bạn là bắt đầu CA của riêng bạn, việc này rất dễ thực hiện và có nhiều hướng dẫn công khai về; một là ở đây . Khi người dùng cuối của bạn nhập CA của bạn vào trình duyệt của họ, tất cả các chứng chỉ bạn đúc sẽ được chấp nhận là có thẩm quyền.

Sau đó, bạn có thể gặp vấn đề thứ hai là bạn muốn chạy nhiều trang NameVirtualhost trên một địa chỉ IP duy nhất. Điều này trong lịch sử không thể khắc phục được, vì (không giống như TLS) đàm phán SSL xảy ra trước bất kỳ điều gì khác trên một kết nối; nghĩa là, CN được nhúng trong chứng chỉ của bạn được biết đến và được sử dụng bởi, máy khách trước khi máy khách có thể nói máy chủ nào họ đang cố gắng kết nối.

Gần đây, một phần mở rộng giao thức có tên SNI (Chỉ định tên máy chủ) dường như đã được giới thiệu, cho phép máy khách và máy chủ cho biết rằng họ muốn thực hiện một số nội dung tên máy chủ trước khi chứng chỉ SSL được trình bày, cho phép một trong các tập hợp bên phải giấy chứng nhận sẽ được cung cấp bởi máy chủ. Rõ ràng điều này đòi hỏi apache 2.2.10, một phiên bản gần đây của OpenSSL và ( quan trọng là ) hỗ trợ phía khách hàng.

Vì vậy, nếu tôi phải làm những gì bạn đang cố gắng, tôi sẽ xem xét việc đúc chứng chỉ CA của riêng tôi, nói với người dùng cuối của tôi rằng họ phải sử dụng các trình duyệt hỗ trợ SNI và nhập chứng chỉ gốc CA của tôi, và cắt và ký chứng chỉ SSL của riêng tôi cho mỗi trang web bugtrack.

[1] OK, bạn có thể không tìm thấy ai sẽ làm điều đó, nhưng đó là một chi tiết thực hiện. Điều tôi đang cố gắng thể hiện ở đây là ngay cả khi bạn đã làm, nó sẽ không giải quyết được vấn đề của bạn.

Có một Cơ quan cấp chứng chỉ gốc mà tôi biết rằng được phổ biến trước với tất cả các trình duyệt chính và phát hành chứng chỉ SSL trên các địa chỉ IP công cộng: hãy xem GlobalSign . Họ đọc thông tin RIPE để xác thực yêu cầu chứng chỉ của bạn, vì vậy bạn có thể muốn kiểm tra trước tiên rằng mục RIPE được cấp đúng tên.

Liên quan đến thông tin phản hồi, mục này đã nhận được:

Có , tốt hơn là mua một tên miền và cấp chứng chỉ SSL trên CN đó. Nó cũng rẻ hơn tùy chọn GlobalSign ở trên.

Nhưng , có những trường hợp chứng chỉ SSL có IP công cộng là CN hữu ích. Nhiều nhà cung cấp internet và chính phủ chặn các trang web không mong muốn dựa trên cơ sở hạ tầng DNS. Nếu bạn đang cung cấp một số loại trang web có khả năng bị chặn, chẳng hạn vì lý do chính trị, thì đó là một lựa chọn tốt để có thể truy cập trang web này thông qua địa chỉ IP công cộng. Đồng thời, bạn sẽ muốn mã hóa lưu lượng cho những người dùng đó và bạn không muốn người dùng phi công nghệ của mình gặp rắc rối khi nhấp qua các cảnh báo ngoại lệ bảo mật của trình duyệt của họ (vì CN của chứng chỉ không khớp cái thực tế đã nhập). Làm cho họ cài đặt Root CA rất riêng của bạn thậm chí còn rắc rối hơn và không thực tế.

Đi trước và mua tên miền. Chúng rẻ, không rẻ hơn thế. Bạn chỉ cần một. Thậm chí có thể chỉ cần thiết lập bugtracker.yourcompany.com.

Sau đó, đối với mỗi bugtracker, hãy thiết lập một tên miền phụ cho tên đó. Nhận chứng chỉ SSL cho mỗi tên miền phụ đó. Vì bạn có vẻ đặc biệt không thích chi phí, công ty bạn muốn hợp tác được gọi là StartSSL.

http://www.startssl.com/

Lý do bạn muốn sử dụng chúng là vì (ngoài việc được các trình duyệt chính tin cậy), chứng chỉ của họ không tốn một cánh tay và một chân. Các loại chứng chỉ cơ bản nhất là thực sự, trung thực, không có shit miễn phí. Họ xác minh danh tính của bạn, sau đó cho phép bạn phát hành bao nhiêu tùy ý. Nếu bạn muốn các fancier certs (thường có giá vài trăm đô la), bạn đang tìm kiếm khoảng 50 đô la trong 2 năm để hỗ trợ SSL cho nhiều tên miền trên một IP.

Chúng siêu rẻ cho những gì bạn nhận được. Họ phát hành các loại giấy thật, được các trình duyệt khách hàng của bạn tin tưởng và không phải dùng thử 90 ngày như những nơi khác.