web-dev-qa-db-fra.com

Certificat SSL pour une adresse IP publique?

Je viens d'essayer d'acheter un SSL COMODO positif, mais il a été rejeté pour ne pas soutenir une adresse IP publique, mais ils ne prennent à la place qu'un nom de domaine.

Est-ce que quelqu'un connaît un fournisseur de certificats SSL prenant en charge l'adresse IP publique au lieu d'un nom de domaine?

Ma société dispose d'un serveur dédié hébergé par une société d'hébergement Web, utilisée pour exécuter un bugtracker pour plusieurs projets (pour plusieurs clients). Comme il est utilisé uniquement pour un bugtracker, nous n'avons pas besoin d'un nom de domaine (nos clients lui accèdent en tapant l'IP publique dans leur navigateur).

10
serial engine

Je pense que vous pouvez faire cela, mais pas la façon dont vous essayez de le faire.

Un certificat SSL est une déclaration qui contraignante une clé de cryptage public à une structure X.500 qui comprend un élément CN ou un nom commun; Un certificat signé est celui où la liaison est certifiée de manière vérifiée par une autorité de certification tierces, en utilisant la clé publique déjà connue des utilisateurs finaux (que la pile d'autorités de certification (CA) certificats vivant dans votre navigateur).

Lorsque vous visitez un site Web sécurisé SSL avec un navigateur, le CN signé est conçu dans le navigateur. Qu'est-ce que le navigateur choisit de faire avec elle est au navigateur. Les navigateurs dont je suis conscient de le comparer au nom d'hôte demandé, et une erreur si elle est différente (ou si cette liaison certifiée n'a pas 't suppose que l'analyse, par exemple, le certificat de signature n'est pas connu de la navigation ou de la liaison est obsolète, mais c'est un problème différent). Il n'y a rien que en principe vous empêche d'obtenir un certificat signé publiquement dans lequel le CN est une adresse IP non un nom de domaine de domaine IP (nom de domaine entièrement qualifié) [1], mais qui ne fera pas comme magiquement le navigateur comparer le navigateur CN avec l'adresse IP, au lieu de avec le nom d'hôte demandé.

Je soupçonne que le moyen le plus simple de résoudre votre problème est de démarrer votre propre CA, ce qui est facile à faire et il existe de nombreux tutoriels publics à propos de; On est ici . Une fois vos utilisateurs finaux importent votre CA dans leurs navigateurs, tous les certificats que vous mentez seront acceptés comme faisant autorité.

Vous pouvez ensuite avoir un deuxième problème dans lequel vous souhaitez exécuter beaucoup de sites NameVirtualHost sur une seule adresse IP. Cela a toujours été insurseur, car la négociation SSL (contrairement à TLS) se produit avant toute autre chose sur une connexion; C'est-à-dire que le CN incorporé dans votre certificat est fait connu pour, et utilisé par, le client avant Le client est capable de dire quel hôte ils essaient de se connecter.

Récemment, une extension de protocole appelée SNI (indication du nom du serveur) semble avoir été introduite, ce qui permet au client et au serveur d'indiquer qu'ils aimeraient faire des éléments de nom d'hôte avant que le certificat SSL ne soit présenté, ce qui permet au bon d'un ensemble. des certificats à donner par le serveur. Apparemment, cela nécessite Apache 2.2.10, une version suffisamment récente d'OpenSSL, et ( surtout) Support côté client.

Donc, si je devais faire ce que vous essayez de faire, je regarderais avec mon propre certificat CA, disant à mes utilisateurs finaux qu'ils doivent utiliser des navigateurs prenant en charge SNI et importer mon certificat racine de CA, et couper et Signature de mes propres certificats SSL pour chaque site de bugtrack.

[1] OK, vous n'avez peut-être pas trouvé personne qui le fera, mais c'est un détail de mise en œuvre. Ce que j'essaie de montrer ici, c'est que même si vous l'avez fait, cela ne résoudrait pas votre problème.

16
MadHatter

Il y a une autorité de certification racine que je connaisse qui est pré-remplacée avec tous les grands navigateurs et Problèmes certificats SSL sur Adresses IP publique: Jetez un coup d'œil à (( Globalsign . Ils ont lu des informations mûres pour valider votre demande de certificat. Vous pouvez donc vérifier d'abord que l'entrée mûre est émise sur le nom correct.

En ce qui concerne les commentaires, cette entrée a obtenu:

Oui , il est préférable d'acheter un nom de domaine et d'émettre un certificat SSL sur ce CN. C'est aussi moins cher que l'option globalsign ci-dessus.

mais , il existe des cas où les certificats SSL avec une adresse IP publique comme le CN sont utiles. De nombreux fournisseurs Internet et gouvernements bloquent des sites indésirables basés sur l'infrastructure DNS. Si vous offrez une sorte de site qui est susceptible d'être bloqué, par exemple pour des raisons politiques, c'est une bonne option pour que ce site accessible à travers son adresse IP publique. Dans le même temps, vous Will Voulez-vous chiffrer le trafic de ces utilisateurs et vous ne voulez pas que vos utilisateurs de non-Tech traverse les tracas de cliquer sur les avertissements d'exception de sécurité de leur navigateur (car Le CN du certificat ne correspond pas à la réelle entrée). Faire installer votre propre cote CA Root est encore plus tracas et pas réaliste.

10
semanticalo

Allez-y et achetez le nom de domaine. Ils sont bon marché, ne soyez pas moins cher que cela. Vous n'en avez besoin que d'un. Peut-être même vient de configurer bugtracker.yourcompany.com.

Ensuite, pour chaque bugtracker, configurez un sous-domaine pour ce nom. Obtenez un certificat SSL pour chacun de ces sous-domaines. Depuis que vous semblez particulièrement coûteux, la société que vous souhaitez faire des affaires est appelée StartsSl.

http://www.startssl.com/

La raison pour laquelle vous souhaitez les utiliser est parce que (en plus d'être approuvées par les grands navigateurs), leurs certificats ne coûtent pas un bras et une jambe. Le type de certificat le plus élémentaire est vraiment, honnêtement, sans merde libre. Ils vérifient votre identité, puis vous laissez émettre autant que nécessaire. Si vous souhaitez que Fankier Cert (qui coûte normalement plusieurs centaines de dollars), vous consultez environ 50 $ pendant 2 ans pour prendre en charge SSL pour plusieurs domaines sur une seule adresse IP.

Ils sont super bon marché pour ce que vous obtenez. Ils émettent de vrais certs, de confiance par les navigateurs de vos clients et non des essais de 90 jours tels que les autres endroits.

1
Paul McMillan