Openssl

我可以在沒有完全限定域名的情況下創建 CSR 嗎?

  • December 16, 2019

我的客戶有一台由 Digital Ocean 託管的 Ubuntu 伺服器。伺服器沒有域名,我們通過公共IP地址訪問它。他們想開始使用 https 並為我提供了來自 GoDaddy.com 的 SSL 證書。我需要向 GoDaddy 提供 CSR 以設置 SSL 證書。

我嘗試在伺服器上創建 CSR 和私鑰:

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365

問題是我沒有什麼可以Common Name (eg, fully qualified host name) []:提示的。可以簡單地輸入IP地址嗎?

在研究這個時,我遇到了可以指定 IP 地址的主題備用名稱 (SAN),但我不確定如何將其添加到 CSR。

我需要告訴我的客戶他們應該獲得一個域名嗎?

你可以,但你不應該在這裡討論 DV 證書。

證書標識“某物”。可以是組織、個人、網站、電子郵件地址、IP 地址、一段程式碼等。

如果您正在創建要在 HTTPS 世界中使用的證書,您需要在證書中的 SAN 部分中具有 DNS 名稱。您不應該在主機名部分使用帶有 IP 地址的 HTTPS URL,因為即使在技術上可行,並且您可以擁有帶有 IP 地址而不是名稱的證書,它們必須以不同的方式生成,並且您將很難找到 CA簽署他們。

您應該註冊一個域名,任何人,然後使用它作為後綴來命名您的所有主機,然後您就可以按照應該完成的方式解決您的問題:所有主機現在都有一個名稱,因此您可以為那個名字。

引用自:https://serverfault.com/questions/995801