¿Se permite especificar IP como nombre DNS para el certificado SAN?
¿Se permite especificar IP como nombre DNS para el certificado SAN?
¿Se permite especificar IP como nombre DNS para el certificado SAN?
En primer lugar, debe darse cuenta de que existe un formato de nombre alternativo específico de iPAddress, diseñado para contener quads con puntos (IPv4) o 16 octetos (IPv6). Si desea incluir una dirección IP en su certificado, esa es probablemente la forma correcta de hacerlo. Consulte RFC 5280 sección 4.2.1.6 . La compatibilidad del navegador / cliente variará.
En segundo lugar, sí, es legal especificar un quad punteado en un campo dNSName de la SAN. Para citar RFC 5280,
El nombre DEBE estar en la "sintaxis del nombre preferido", según lo especificado por Sección 3.5 de RFC1034 y según lo modificado por la Sección 2.1 de RFC1123
Este último sugiere que el software debe ser tolerante para encontrar direcciones IP en los campos de "nombre de host":
Cada vez que un usuario ingresa la identidad de un servidor de Internet, DEBE ser es posible ingresar (1) un nombre de dominio de host o (2) una dirección IP en formato decimal con puntos ("#. #. #. #"). El anfitrión DEBE revisar la cadena sintácticamente para un número decimal con puntos antes de buscarlo en el Sistema de nombres de dominio.
Nuevamente, estos son solo RFC, por lo que su millaje variará según el cliente.
Tenga en cuenta también que, según RFC 5280:
Debido a que el nombre alternativo del sujeto se considera definitivamente enlazado a la clave pública, todas las partes del nombre alternativo del sujeto DEBE ser verificado por la CA.
Entonces, si envía una solicitud a una CA pública con, por ejemplo, una dirección IP privada RFC 1918 (10.1.2.3), deberían rechazar la firma de esa solicitud. Y en cuanto a las CA que validan la propiedad de una dirección IP, cuando la "propiedad" de una dirección IP generalmente difiere del usuario asignado, las cosas podrían ponerse interesantes.
¿Se permite especificar IP como nombre DNS para el certificado SAN?
De acuerdo con RFC 5280 dNSName es un IA5String, lo que significa que en teoría podría poner la cadena de una dirección IPv4 o IPv6 como una cuerda en su interior. Y a veces también es necesario aunque el tipo adecuado para las direcciones IP en SAN sea iPAddress desde:
Por lo tanto, se puede alcanzar la mejor compatibilidad al proporcionar la dirección IP como iPAddress y dNSName.
Sí, técnicamente puede ir en el nombre alternativo del sujeto (SAN) junto con cualquier nombre de dominio. Los sistemas en los que utiliza el certificado pueden o no hacer uso correcto de la información (depende de la aplicación).
Por lo tanto, sí, es legal hacer lo que quieres, pero puede que no funcione.
Sí, se puede usar de esa manera, pero generalmente solo tiene sentido para la infraestructura de clave privada privada. En ese caso, puede tener un servidor privado que se usará directamente con su dirección IP, por lo que tiene sentido usarlo en el campo SAN.
Pero AFAIK se usa rara vez (si se usa en absoluto) para PKI público y servidores públicos.