Выпустите TLS без cname
Человек, который выпускает сертификаты TLS, говорит мне, что ему нужен CName моего сервера для издания сертификата после того, как я просто дал ему IP-адрес веб-сервера. Это - внутренний проект, таким образом, мы еще не получили доменное имя. Он корректен в этом, он должен иметь cname для издания сертификата или является IP, который я дал ему прекрасный?
Сертификат должен быть выдан на полное доменное имя (FQDN). Вам не нужно использовать CNAME, а просто создать запись A, указывающую на соответствующий IP-адрес.
ЦС, выпускающий сертификат, должен иметь возможность проверить право собственности на доменное имя.
При желании вы можете легко использовать поддомен существующего домена. Просто укажите поддомен (например, foo-server.example.com ) в качестве CommonName для cert.
Похоже, что есть некоторая путаница как в вашем вопросе, так и в некоторых ответах между CN и CNAME.
CN == сокращенно CommonName. Это часть DN или DistinguishedName, на которое выдается cert.
CNAME == сокращение от Canonical Name. Это запись в DNS, которая, по сути, делает одно FQDN псевдонимом для другого FQDN.
CN != CNAME. и DN != FQDN. Надеюсь, это поможет прояснить.
Когда браузер использует сертификат X.509 для проверки идентификации сайта, он сверяет имя в адресной строке с именами, перечисленными в самом сертификате.
Вам нужно знать любое имя, которое вы собираетесь использовать для соединения с вашим сервером (например, ваше имя vhost или имя хоста) перед выдачей сертификата, если вы хотите, чтобы пользователи могли соединяться с сервером, используя имя, а не IP-адрес. Если вы планируете использовать несколько vhosts, основанных на именах, вы будете использовать все имена в сертификате.
.Для выпуска сертификата должно быть какое-то имя, даже если это test.contoso.net. Если это внутренне сгенерированный SSL-сертификат, то нет ничего страшного в том, чтобы отозвать его и сделать новый. Однако, если это SSL-сертификат от внешнего поставщика (например, Comodo, GoDaddy, Verisign и т.д.), то отзыв и создание нового сертификата обычно стоит денег или кредитов. Также третьи лица не будут создавать сертификаты для доменов, которые вам не принадлежат.
. Если вы собираетесь связаться с вашим веб-сервером по его ip-адресу (например, http://192.168.1.10), то все в порядке.
Если вы собираетесь связаться с сервером по имени хоста (или любому другому псевдониму) (например: http://server), то вы должны включить имя хоста и псевдонимы (cname), возможно, как san, в ваш запрос.