Especifique múltiples ips en un certificado

Navega tus respuestas
1

Creé un certificado x509 usando gnu certtool, en la plantilla de certificado que especifiqué cn=myip El problema es que cada vez que cambio mi red necesito rehacer el certificado porque mi ip cambia ... y desde el lado del cliente es aún peor: si quiero comunicarme con un servidor en mi red privada necesito una dirección 192.168, mientras que una red pública necesito especificar una dirección verdadera ... esto es molesto ...

Editar. Necesito esto para tls procol y autenticación mutua.

    
pregunta Phate 28.02.2014 - 07:35
fuente

2 respuestas

1

RFC 2818 dice lo siguiente:

  

En algunos casos, el URI se especifica como una dirección IP en lugar de una   nombre de host En este caso, el iPAddress subjectAltName debe estar presente   en el certificado y debe coincidir exactamente con la IP en el URI.

Probablemente debería estar usando un nombre de dominio resoluble (público o privado) para el campo CN. No es recomendable utilizar una dirección IP para CN, ya que la RFC recomienda usar el campo SAN.

    
respondido por el David Houde 28.02.2014 - 07:45
fuente
0

Lo mejor que puedes usar aquí es especificar un dominio mejor que un IP para que puedas mover fácilmente tus certificados y cambiar la configuración de red sin tener que crear nuevas claves.

Tenga en cuenta que también puede usar caracteres comodín al emitir su certificado, de modo que si cambia algunos de sus dominios locales, los certificados seguirán siendo válidos, o incluso puede usar un certificado para todos sus servidores (un certificado para descartarlos a todos) .

Considere que tendrá que tener un DNS de red local para lograr los mejores resultados (ya que será un PITA para editar cada archivo de host en cada máquina de la red).

    
respondido por el kiBytes 28.02.2014 - 07:55
fuente

Lea otras preguntas en las etiquetas

Comprobación de Heartbleed para aplicaciones móviles y móviles ¿Guardar frases de cifrado en memoria en Dalvik?