我可以为Intranet名称或IP地址请求证书吗?
否-我们不再接受Intranet名称或IP地址的证书请求。这是一个行业范围的标准,而不是GoDaddy的特定标准。
以下是无法为其申请证书的“通用名称”类型示例:
| 类型 | 示例 |
|---|---|
| 内联网 | server1 , mail , server2.local |
| IPv4 | 192.1.2.3 |
| IPv6 | fe80:4:6c:8c74:0000:5efe:109.21 |
为什么存在此政策?
为了创建更安全的网络环境,Certificate Authorities Browser Forum(证书颁发机构浏览器论坛)的成员共同定义了 SSL 证书的实施方针。最终决定,从 2016 年 10 月 1 日开始,证书颁发机构 (CA) 必须撤消使用 Intranet 名称或 IP 地址的 SSL 证书。
简而言之,此策略可提高安全性。因为内部服务器名称不是唯一的,所以它们很容易受到中间人(MITM)攻击。在MITM攻击中,攻击者使用真实证书的副本或重复的证书来拦截和重新传输邮件。因为CA会为同一内部名称颁发多个证书,所以攻击者可以为重复的证书提出有效请求,并将其用于MITM。
要了解 CA/Browser Forum(证书颁发机构/浏览器论坛)方针的详细内容,请单击此处。
如果我想使用IP地址,可以使用哪些替代方法?
您应将服务器重新配置为使用完全限定域名(FQDN)(例如www.coolexample.com ),而不是保护IP地址和Intranet名称。
将FQDN配置为指向您的IP地址后,您可以为域名生成CSR,然后申请证书。
下一步
- 将域名指向您的IP地址后,您可以为其请求CSR
