Законен ли полный подстановочный знак CN в сертификате SSL?
Могу ли я указать CN просто * для сервера с динамическим IP от DHCP и без имени домена? Дело в том, что адрес сервера неизвестен и он динамический. Клиенты ищут сервер в широковещательном домене, используя широковещательные рассылки, а затем им необходимо подключиться по DTLS и проверить сервер, используя сертификат, подписанный внутренним центром сертификации.
Эта конструкция системы исправлена, я не решающий человек. Я просто спрашиваю о способе создания сертификата, принятого библиотекой OpenSSL в DTLS, без явного указания адреса сервера. Слепое предположение было просто использовать * как CA, но я начал беспокоиться, если OpenSSL примет такой сертификат.
2 ответа
Для сертификата Wildcard SSL требуются полные доменные имена (FQDN), поэтому вам следует запросить сертификат для *.yourdomain.com. Если ваш DHCP-сервер не поддерживает серверы имен или вам необходимо применить пользовательские серверы имен, которые отличаются от аренды вашего DHCP-сервера, вы можете использовать другой DNS самостоятельно.
Чтобы включить изоляцию поддоменов, вы должны использовать действительное имя домена в качестве имени хоста вместо IP-адреса.
Источник:
https://help.github.com/enterprise/2.0/admin/articles/configuring-dns-ssl-and-subdomain-settings/
Никакой Wildcard SSL-сертификат не будет работать на динамическом IP-адресе, необходимо статический IP-адрес.
Не могли бы вы уточнить, что именно вы говорите о "Full Wildcard SSL"?, чтобы я мог помочь вам с другим решением.