내 사이트가 요청시 불필요한 쿠키를 피하고 추가 DNS 요청을 피하기 위해 정적 콘텐츠 http://192.0.2.2/...
와 같은 URL을 사용하기를 원합니다 https://192.0.2.2/...
.
이 목적으로 SSL 인증서를 얻는 방법이 있습니까?
답변
이 답변 에 따르면 가능하지만 거의 사용되지 않습니다.
그것을 얻는 방법에 관해서는 : 나는 단순히 당신이 선택한 공급자와 하나를 주문하고 주문하는 동안 도메인 대신 IP 주소를 입력하는 경향이 있습니다.
그러나 DNS 조회를 피하기 위해 IP 주소로 사이트를 운영하는 것은 나에게 불필요한 미세 최적화처럼 들리지 않습니다. 당신은 최고의에서 몇 밀리 초를 저장하며, 즉 방문당 DNS 결과는 여러 수준에서 캐시로.
귀하의 아이디어가 최적화 관점에서 의미가 있다고 생각하지 않습니다.
답변
대답은 공개 IP 주소 인 한 가능합니다.
예약 된 IP 주소로 인증서를 발급 할 수 없으며, 예약 된 IP 주소로 이전에 발급 된 모든 인증서는 2016 년 10 월 1 일부터 해지되었습니다.
CA Browser 포럼에 따르면 IP 주소가 commonName
및 subjectAltName
필드 에 모두 있지 않으면 IP 주소 인증서와의 호환성 문제가있을 수 있습니다 . 이는 Windows 10 이전의 Windows OS, 특히 RFC 5280과 일치하지 않는 레거시 SSL 구현 때문입니다.
출처 :
- 인증서 CA 브라우저 포럼의 IP 주소에 대한 지침
- 기준 요구 사항 1.4.1 CA 브라우저 포럼
- 언젠가는 일반적인 이름 unmitigatedrisk.com
- RFC 5280 IETF
참고 :이 답변의 이전 버전에서는 2016 년 10 월 1 일에 모든 IP 주소 인증서가 해지 될 것이라고 명시했습니다. 오류를 지적한 Navin에게 감사합니다.
답변
내가 생각하는 대답은 ‘예’입니다. 예를 들어이 링크 를 확인하십시오 .
퍼블릭 IP 주소에 SSL 인증서 발급
SSL 인증서는 일반적으로 ” https://www.domain.com ” 과 같은 FQDN (정규화 된 도메인 이름)에 발급됩니다 . 그러나 일부 조직에서는 공개 IP 주소로 발급 된 SSL 인증서가 필요합니다. 이 옵션을 사용하면 CSR (Certificate Signing Request)에서 공용 IP 주소를 공통 이름으로 지정할 수 있습니다. 그런 다음 발급 된 인증서를 사용하여 공개 IP 주소 (예 : https://123.456.78.99 ) 와 직접 연결을 보호 할 수 있습니다 .
답변
네. Cloudflare는이를 DNS 지침 홈페이지 ( https://1.1.1.1)로 사용합니다.
답변
C / A 브라우저 포럼은 인증서에서 유효하지 않은 것과 유효하지 않은 것과 CA가 거부해야 할 것을 설정합니다.
그들에 따르면 공개적으로-신뢰할 수있는 인증서의 발급 및 관리를위한 기본 요구 사항 문서 CA는 2015 년부터 일반 이름 또는 일반 대체 이름 필드에 예약 된 IP 또는 내부 이름이 포함 된 인증서를 발급하지 않아야합니다. 여기서 예약 된 IP 주소는 IP입니다. IANA가 모든 NAT IP를 포함하여 예약 된 것으로 표시하고 내부 이름은 퍼블릭 DNS에서 확인되지 않는 이름입니다.
공용 IP 주소를 사용할 수 있습니다 (그리고 기본 요구 사항 문서는 신청자가 IP를 소유하도록 CA가 수행해야하는 검사 종류를 지정합니다).
답변
전적으로 인증서를 발행 한 인증 기관에 따라 다릅니다.
Let ‘s Encrypt CA는 공개 IP 주소에서 TLS 인증서를 발급하지 않습니다.
https://community.letsencrypt.org/t/certificate-for-public-ip-without-domain-name/6082
인증 기관을 알기 위해 다음 명령을 실행하고 아래 표시된 항목을 찾을 수 있습니다.
curl -v -u <username>:<password> "https://IPaddress/.."