Могу ли я создать CSR без полного доменного имени?
У моего клиента есть сервер Ubuntu, принадлежащий Digital Ocean. У сервера нет доменного имени, мы получаем к нему доступ через публичный IP-адрес. Они хотят начать использовать https и предоставили мне сертификат SSL от GoDaddy.com. Мне нужно предоставить GoDaddy CSR для установки сертификата SSL.
Моя попытка создать CSR и закрытый ключ на сервере:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365
Проблема в том, что мне нечего добавить для Common Name ( например, полное имя хоста) []: приглашение. Можно ли вместо этого просто указать IP-адрес?
Исследуя это, я наткнулся на альтернативные имена субъектов (SAN), которые могут указывать IP-адреса, но я не уверен, как добавить это в CSR.
Нужно ли мне сообщать своему клиенту, что он должен получить доменное имя?
Вы можете, но Вы не были должны, поскольку Вы, очевидно, обсуждаете сертификаты DV здесь.
сертификат А определяют "что-то". То, что что-то может быть организацией, человеком, веб-сайтом, адресом электронной почты, IP-адресом, частью кода, и т.д.
при создании сертификатов, которые будут использоваться в мире HTTPS, у Вас должно быть имя DNS в сертификате в разделе SAN. Вы не должны использовать URL HTTPS с IP-адресами в части имени хоста, потому что, даже если может технически работать, и у Вас могут быть сертификаты с IP-адресами вместо имен, они должны быть сгенерированы по-другому, и Вы испытаете намного больше затруднений, находящих, что CA подписывает их.
необходимо зарегистрировать доменное имя, любого, и затем использовать это в качестве суффикса для именования всех хостов, и Вы решаете свою проблему они способ, которым она должна быть сделана: все хосты теперь имеют имя, и следовательно можно создать надлежащий сертификат для того имени.