2 votos

Puede un certificado auto-firmado el uso de una dirección IP para una entrada en el Nombre Alternativo de Sujeto?

De https://support.apple.com/en-us/HT210176

TLS certificados de servidor deben presentar el nombre DNS del servidor en el Nombre Alternativo del Sujeto de la extensión del certificado. Los nombres DNS en el CommonName de un certificado que no son de confianza.

De acuerdo a estos nuevos requisitos, debería ser capaz de utilizar una dirección IP en el campo SAN? He leído una respuesta explícita o implícita de que era posible, pero no puedo hacer que funcione. Obviamente me doy cuenta de que una IP no es un nombre DNS, pero... bueno que se puede esperar.

Puedo solución a la limitación por la configuración de un mDNS (por ejemplo, Bonjour) y el uso de acogida.local de nombres de estilo (que sí funciona), pero esto no es lo ideal para mi situación.

0voto

Jose Chavez Puntos 645

Sí, de acuerdo con el estándar (RFC 5280 página 37) se puede utilizar una dirección IP en la SAN (SubjectAltName) campo!

El estándar define un número de posibilidades para la especificación de la SAN, incluyendo la dirección ip, dNSName, y varios otros.

La opción más obvia es el uso de iPAddress, donde la dirección IP se almacena como una cadena de octeto. También puede escribir la dirección IP en la dNSName campo, que es un hilo común (IA5String, para ser exactos).

En la práctica, quiere hacer las dos cosas al mismo tiempo como soporte de software varía. Por ejemplo, parece que todo el software de Microsoft (como el Internet Explorer y el Borde de los navegadores) mira el dNSName e interpreta las direcciones IP, mientras que navegadores como Safari y Chrome vistazo a la iPAddress campo.

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X