Specifica più IP in un certificato

1

Ho creato un certificato x509 usando gnu certtool, nel modello di certificato che ho specificato cn=myip Il problema è che ogni volta che cambio la mia rete ho bisogno di rifare il certificato perché il mio IP cambia ... e dal lato client è anche peggio: se voglio contattare un server sulla mia rete privata ho bisogno di un indirizzo 192.168, mentre su una rete pubblica ho bisogno di specificare un indirizzo vero ... questo è fastidioso ...

Modifica. Ho bisogno di questo per il procol tls e l'autenticazione reciproca.

    
posta Phate 28.02.2014 - 07:35
fonte

2 risposte

1

RFC 2818 dice quanto segue:

In some cases, the URI is specified as an IP address rather than a hostname. In this case, the iPAddress subjectAltName must be present in the certificate and must exactly match the IP in the URI.

Probabilmente dovresti usare un nome di dominio risolvibile (pubblico o privato) per il campo CN. Non è consigliabile utilizzare un indirizzo IP per CN poiché RFC consiglia di utilizzare il campo SAN.

    
risposta data 28.02.2014 - 07:45
fonte
0

La cosa migliore che puoi usare qui è specificare un dominio meglio di un IP in modo da poter spostare facilmente i certificati e modificare le impostazioni di rete senza dover creare nuove chiavi.

Considera che puoi anche utilizzare i caratteri jolly quando si rilascia il certificato in modo che se si modificano alcuni dei domini locali i certificati saranno ancora validi, o si può anche usare un certificato per tutti i server (un certificato per dominarli tutti) .

Considera che dovrai avere un DNS di rete locale per ottenere i migliori risultati (dal momento che sarà un PITA a modificare ogni file host in ogni macchina di rete).

    
risposta data 28.02.2014 - 07:55
fonte

Leggi altre domande sui tag