공개 IP 주소에 대한 SSL 인증서?

방금 Comodo Positive SSL을 구입하려고 시도했지만 공개 IP 주소를 지원하지 않아 거부되었지만 대신 도메인 이름 만 지원합니다.

누구든지 도메인 이름 대신 공개 IP 주소를 지원하는 SSL 인증서 공급자를 알고 있습니까?

우리 회사에는 웹 호스팅 회사가 호스팅하는 전용 서버가 있는데,이 서버는 여러 프로젝트 (여러 클라이언트 용)에 대한 버그 추적기를 실행하는 데 사용됩니다. 버그 추적기에만 사용되므로 도메인 이름이 필요하지 않습니다 (고객이 브라우저에 공개 IP를 입력하여 도메인 이름에 액세스).

나는 당신이 이것을 할 수 있다고 생각하지만 당신이하려는 방식은 아닙니다.

SSL 인증서는 공용 암호화 키를 CN (Common Name) 요소를 포함하는 X.500 구조에 바인딩하는 명령문입니다. 서명 된 인증서는 최종 사용자에게 이미 알려진 공개 키 (브라우저 내에있는 CA (Certificate Authority) 인증서 스택)를 사용하여 바인딩이 타사 인증 기관에 의해 확인 가능한 경우입니다.

브라우저가있는 SSL 보안 웹 사이트를 방문하면 서명 된 CN이 브라우저에 알려집니다. 브라우저가 브라우저와 관련하여 선택하는 것은 브라우저에 달려 있습니다. 내가 알고있는 브라우저는 요청한 호스트 이름과 비교하고 다른 경우 (또는 인증 된 바인딩이 분석에 맞지 않는 경우 오류가 발생합니다 (예 : 서명 인증서가 브라우저에 알려지지 않았거나 바인딩이 없음) 최신이지만 다른 문제입니다). CN이 FQDN (정규화 된 도메인 이름)이 아닌 IP 주소 [1] 가 아닌 공개적으로 서명 된 인증서를 얻는 것을 원칙적으로 막을 수는 없지만, 브라우저가 CN을 IP와 비교할 수는 없습니다. 요청 된 hostname 대신 주소를 사용하십시오 .

문제를 해결하는 가장 간단한 방법은 자신의 CA를 시작하는 것입니다. 쉽게 수행 할 수 있으며 이에 대한 많은 공개 자습서가 있습니다. 하나는 여기에 있습니다 . 최종 사용자가 CA를 브라우저로 가져 오면 사용자가 인증 한 모든 인증서가 신뢰할 수있는 것으로 승인됩니다.

그런 다음 단일 IP 주소에서 많은 NameVirtualHost 사이트를 실행하려는 두 번째 문제가있을 수 있습니다. (TLS와 달리) SSL 협상이 연결의 다른 것보다 먼저 발생하기 때문에 이는 역사적으로 불가능했습니다. 즉, 인증서에 포함 된 CN 은 클라이언트가 연결하려는 호스트를 말할 수 있기 전에 클라이언트에 알려지고 사용됩니다.

최근 SNI (Server Name Indication)라는 프로토콜 확장이 도입 된 것으로 보이며,이를 통해 클라이언트와 서버는 SSL 인증서가 제시되기 전에 호스트 이름을 수행하고 싶다는 것을 표시 할 수 있습니다. 서버가 제공 할 인증서 분명히이 아파치 2.2.10하는 OpenSSL을 충분히 최신 버전, 그리고 (필요 중요한 ) 클라이언트 측 지원을 제공합니다.

그래서 당신이하려는 일을해야한다면, 내 자신의 CA 인증서를 작성하는 것을보고 최종 사용자에게 SNI를 지원하고 CA 루트 인증서를 가져 오는 브라우저를 사용해야하며 각 버그 트랙 사이트에 대해 내 SSL 인증서에 서명합니다.

[1] 좋아, 당신은 그것을 할 사람을 찾지 못했을 수도 있지만, 그것은 구현 세부 사항입니다. 내가 여기에 표시하려고하는 것은 당신이 그렇게하더라도 문제가 해결되지 않는다는 것입니다.

모든 주요 브라우저로 미리 채워집니다 그 중 하나 루트 인증 기관 I를 알고있다 및 공용 IP 주소에 문제 SSL 인증서 : 한 번 봐 걸릴 GlobalSign을 . 인증서 요청을 확인하기 위해 RIPE 정보를 읽으므로 먼저 RIPE 항목이 올바른 이름으로 발행되었는지 확인할 수 있습니다.

피드백과 관련하여이 항목은 다음과 같습니다.

예 , 도메인 이름을 구입하고 해당 CN에서 SSL 인증서를 발행하는 것이 좋습니다. 또한 위의 GlobalSign 옵션보다 저렴합니다.

그러나 공용 IP를 CN으로 사용하는 SSL 인증서가 유용한 경우가 있습니다. 많은 인터넷 제공 업체와 정부는 DNS 인프라를 기반으로 원치 않는 사이트를 차단합니다. 예를 들어 정치적 이유로 차단 될 수있는 사이트를 제공하는 경우이 사이트를 공개 IP 주소를 통해 액세스 할 수있는 것이 좋습니다. 동시에, 당신은 것입니다 그 사용자를위한 암호화 트래픽을 원하고 인증서의 CN이 일치하지 않기 때문에 당신은 (당신이 아닌 기술 사용자가 브라우저의 보안 예외 경고를 통해 클릭의 번거 로움을 통해 가고 싶지 않아 실제 입력). 자신의 루트 CA를 설치하는 것은 훨씬 번거롭고 현실적이지 않습니다.

계속해서 도메인 이름을 구입하십시오. 그들은 싸다, 그것보다 싸지 마라. 당신은 하나만 필요합니다. 아마도 bugtracker.yourcompany.com을 설정했을 수도 있습니다.

그런 다음 각 버그 추적기에 대해 해당 이름의 하위 도메인을 설정하십시오. 해당 하위 도메인 각각에 대한 SSL 인증서를 받으십시오. 특히 비용이 많이 드는 것처럼 보이기 때문에 비즈니스를 수행하려는 회사를 StartSSL이라고합니다.

http://www.startssl.com/

사용하려는 이유는 (주 브라우저에서 신뢰하는 것 외에도) 인증서에 팔과 다리 비용이 들지 않기 때문입니다. 가장 기본적인 종류의 인증서는 실제로 솔직히 무료입니다. 신원을 확인한 다음 필요한만큼 발행 할 수 있습니다. 더 멋진 인증서 (일반적으로 수백 달러)가 필요한 경우 단일 IP에서 여러 도메인에 대해 SSL을 지원하기 위해 2 년 동안 약 $ 50를 찾고 있습니다.

그들은 당신이 얻는 것에 대해 매우 싸다. 그들은 클라이언트 브라우저에서 신뢰할 수있는 실제 인증서를 발급하며 다른 장소와 같은 90 일 평가판은 사용하지 않습니다.