3

我需要创建一个证书,它将用作隔离 LAN 中任何随机主机上的 TLS 服务器授权。我可以在 subjectAlternativeName 字段中为 IP 使用一些通配符,而不是使用 10.0.0.255 或 10.0.0.0/24 等域来实现此目的吗?

PS LAN 中的任何主机都可以作为分布式服务器网络的客户端,这些服务器可以在任何主机上启动并连接到负载均衡器后面的流体动态贪婪,后者管理此折痕网络中的连接)

4

1 回答 1

10

以下是RFC 2818(假设您在谈论 HTTPS)对此的看法:

In some cases, the URI is specified as an IP address rather than a 
hostname. In this case, the iPAddress subjectAltName must be present  
in the certificate and must exactly match the IP in the URI.

这将排除通配符或子网符号的使用。

最新的RFC 6125旨在协调跨其他协议的识别,明确将 IP 地址排除在其范围之外。

话虽如此,您可能会发现有一些不合规的客户端有自己的解释(例如,有些客户端允许在主题 DN 的 CN 中使用 IP 地址)。我一般不建议指望它。

您想在所谓的“隔离 LAN”上使用 TLS 似乎有点令人惊讶。此外,如果您控制该 LAN,您可以为您的机器分配名称并使用主机名匹配。

于 2013-07-06T00:03:47.063 回答