我想要一个没有域名的嵌入式设备的证书。我可以获取为IP地址颁发的真实证书(不是自签名证书)吗?
我正在查看“让我们加密”计划,该计划将自动执行证书的颁发。从嵌入式设备中运行并获得真正的证书将非常酷。
最佳答案
在创建2.5年后对答案进行了编辑,以纠正dave_thompson_085发现的错误(请参阅评论)。它最初声称公共CA根本不颁发IP地址证书,这是不正确的。
理论上,您可以在证书中包含IP地址。但是,如果您想获得由公共CA颁发的证书,则该IP地址必须是公共的,并且您需要证明IP地址的所有权,即私有IP或保留IP地址将不起作用。并非所有公共CA都使用IP地址颁发证书,例如,Let's Encrypt不会。还要注意,用于IP地址的证书仅适用于包含IP地址的URL-对于解析为该IP地址的任何域都是无效的,除非这些域也明确地是证书的一部分。考虑到拥有一个域比拥有一个拥有公共IP地址证书的公共IP地址要容易得多,这种情况非常罕见。
如果使用自己的CA,您仍然可以拥有专用或保留IP地址的证书。但是,您必须注意浏览器希望在证书中使用IP地址的方式有所不同:
大多数浏览器都接受通用名称的IP,但Safari不接受
大多数浏览器在主题备用名称部分中接受IP作为iPAdress类型,但是MSIE希望在那里将其作为dNSName。
关于http - 我可以获取IP地址的SSL证书吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33404386/