转载请注明文章出处:tlanyan.me/get-ssl-cer…

问题

昨天写"公共DNS服务器整理"一文整理素材时,访问Cloudflare公共DNS服务的官网,发现网站竟然是“https://1.1.1.1”!

恕我孤陋寡闻,这是生平第一次见到以"https"方式访问公网IP(当然CF DNS的另一个IP也是以https方式访问:"https://1.0.0.1")。用多款浏览器测试,均认为这是一个合法的请求地址。查看证书,是由DigiCert签发的合法证书:

可以明确以下事实:

  1. 1.1.1.1肯定是一个IP;
  2. .1不是顶级域名后缀(TLD);
  3. 1.1.1.1不是域名/主机名(FQDN);
  4. 平时极少以https访问IP。

总结起来一句话:能给IP颁发合法SSL证书?

解答

在superuser网站上,有类似的疑惑:Why does my browser think that https://1.1.1.1 is secure?。根据网友答案,可以给公网IP颁发证书,但罕见

确认可以为IP签发证书,继续查资料,找到如下信息:

  1. 能签发证书的IP只能是公网IP
  2. 只能签发OV证书;要验证企业名称合法性,以及根据whois信息验证对IP的所有权

根据第二条,个人不能为IP申请证书;如果没有IP所有权,企业或机构从云厂商获取到的IP也不能申请证书,因为有使用权但没有所有权。域名比IP(相对)更容易获取,并且一个域名可以对应多个IP,故而极少有为IP申请证书的情况。

测试

弄清楚其中道理,接下来验证一下与理论是否相符。

Let's Encrypt

先请出免费获取证书的Let's Encryptcertbot工具,尝试为IP颁发证书,输出如下:

[root@xxxx ~]# certbot certonly --standalone -d xxx.xxx.xxx.xxx
Requested name xxx.xxx.xxx.xxx is an IP address. The Let's Encrypt certificate authority will not issue certificates for a bare IP address.
复制代码

结论:Let's Encrypt不能为IP签发证书!

DigiCert

接着尝试从证书颁发机构获取。在DigiCert的订单页面,主机名一栏对输入数据的反馈如下:

  1. 公网IP

    结论:公网IP可以获取SSL证书!

  2. 内网IP

    结论:不能为内网IP签发SSL证书!

  3. 域名

    结论:毫无疑问是没问题的

测试结果与理论相符(付款及后续步骤没验证)。

参考

  1. superuser: Why does my browser think that https://1.1.1.1 is secure?
  2. LeaderSSL: Issuing SSL certificate for an IP address
  3. DV型、OV型、EV型证书的主要区别

为IP签发SSL证书相关推荐

  1. 用IP地址签发SSL证书

    首先我们来看一下给IP地址签发的SSL证书是什么样子: 我们可以看到,该IP部署的SSL证书为浏览器信任的SSL证书: 上面是在Gworg申请IP地址SSL证书链接:首页-Gworg-淘宝网 也就是说 ...

  2. 服务器证书签发的ip地址选项,公网IP申请SSL证书 DV1-5分钟快速签发IP文件认证

    原标题:公网IP申请SSL证书 DV1-5分钟快速签发IP文件认证 随着互联网的安全产需求变化,IP地址SSL证书广泛使用,直接避免了服务器公网IP劫持,几分钟就可以完成IP SSL证书的注册,下面是 ...

  3. 自签发SSL证书签发生成过程

    自签发 SLL (https) 证书 自签发SSL证书 有关 别名.证书格式.密码请根据实际情况进行修改 使用 cmd 进入java安装目录的bin文件夹中(或使用linux环境) keystore ...

  4. 没有域名备案可以安装ssl证书吗?应用IP申请ssl证书的注意事项

    ssl证书是一种安全性较大的安全证书,这种证书可以加密网站当中被传输的信息,防止重要信息被盗用.因此,很多企业如果有重要文件需要传输的时候,就会直接选择给网站配置ssl证书.由于ssl证书是配置在网站 ...

  5. 为什么需要每年重新签发SSL证书?

    SSL证书存在有效期,到期后网站SSL证书就会失效,如果需要继续保护网站,就可以在证书颁发机构(如:沃通CA)续期或者新申请SSL证书.SSL证书有效期为1年,最长不超过398天,这是全球所有可信SS ...

  6. linux如何开启sni服务,Nginx开启单IP多SSL证书支持-TLS SNI support

    Nginx支持单IP多域名SSL证书需要OpenSSL支持,由于CentOS5.X系统自带的OpenSSL版本太低不支持,所以首先需要编译安装一个高版本的openssl,CentOS 6.X的系统自带 ...

  7. 使用Openssl签发SSL证书

    本文主要记述在Linux系统上使用Openssl创建SSL证书的流程,作为个人学习笔记.自签名证书分为自签名私有证书和自签名CA证书两种.自签名私有证书无法被吊销,自签名CA证书可以被吊销. 什么是o ...

  8. 阿里云万网域名一键签发SSL证书 快捷申请免费SSL证书教程

    原文链接:点击打开链接     前段时间不止一个用户在开发者论坛询问阿里云的免费证书无法购买了,经过在版主群里面的讨论和实践,并不是停止提供免费的SSL证书,而是在购买云盾证书服务中,需要先选择&qu ...

  9. [图文教程]阿里云万网域名一键签发SSL证书 快捷申请免费SSL证书

    前段时间不止一个用户在开发者论坛询问阿里云的免费证书无法购买了,经过在版主群里面的讨论和实践,并不是停止提供免费的SSL证书,而是在购买云盾证书服务中,需要先选择"Symantec" ...

最新文章

  1. segMatch:基于3D点云分割的回环检测
  2. springboot jpa 复合主键 联合主键
  3. JSP页面中<%!%>与<%%>与<%=%>
  4. Harris算子的运用 用于图像配准
  5. Invalid bound statement (not found)
  6. 怎样和客户一起搞定需求
  7. hbasehlog_HBase原理--RegionServer核心组件之HLog
  8. c#winform演练 ktv项目 制作歌曲播放列表
  9. DOS批处理中对含有特殊字符的文件名的处理方法
  10. arduino:废旧光驱DIY激光雕刻机(完善中……)
  11. Wordnet 与 Hownet 比较
  12. 用户标签照妖镜api、旺旺搜索搜索标签api、用户标签查询api、淘宝用户标签透视透视api
  13. python docx 图片_python-docx设置图片大小和对齐方式
  14. 微信小程序服务器请求和上传数据,上传图片并展示,提交表单完整实例代码附效果图
  15. 【渝粤教育】电大中专Windows操作系统 (2)作业 题库
  16. JDK8新特性-Lambda
  17. 一仓库失窃,四管理员被传讯_如何找到丢失或失窃的Android手机
  18. 使用MATLAB快速提取图片数据
  19. IPv6技术精要(第2版)Rick Graziani
  20. 基于akshare查取每天五分钟成交额,35分钟成交额,1h成交额,并输出为cvs

热门文章

  1. 玩音乐,敲架子鼓,一个被“耽误了”的机器学习高手
  2. 京东金融将发布重量级技术与数据产品 招募合作伙伴共拓蓝海市场
  3. AI每日看点 | 吉利收购飞行汽车公司;传华为暂停向高通支付专利费;高通拒绝博通收购邀约
  4. List 如何根据对象的属性去重?Java 8 轻松搞定!
  5. 面试官问:select......for update会锁表还是锁行?
  6. Elasticsearch 如何做到快速检索 - 倒排索引的秘密
  7. 推荐:一款Java开源的Springboot 即时通讯 IM 聊天系统
  8. fork/join 全面剖析,你可以不用,但是不能不懂!
  9. 一行代码:你的纯文本秒变Markdown
  10. IDEA真牛逼,900行又臭又长的类重构,几分钟搞定