设置SSL证书通用名称保护Plesk Panel

Question

PCI合规性扫描程序阻止保护Plesk Panel安全访问的自签名SSL证书包含Plesk Panel位置和证书上的名称之间的名称不匹配，即自签名证书的名称是"Parallels“，访问Plesk的域名是'ip地址:8443‘。

因此，我想我应该继续并获得一个免费的SSL证书来尝试处理这个错误。但是当我生成证书时，我使用我的服务器域名作为我生成证书时的站点名称。所以如果我访问'domain name:8443‘，一切都很好，没有ssl警告。但是如果我访问'ip地址:8443‘(我相信这就是扫描仪所做的)，我得到证书名称不匹配错误，Digicert的ssl检查器显示证书名称应该是ip地址。

我甚至可以生成一个公用名是ip地址的证书吗？我很想说，我应该只做PCI扫描器接受的事情，但真正要使用的正确通用名称是什么？以前有人遇到过这个问题吗？

Answer 1

您可以尝试IP地址的主题备用名称分机。此外，您可以保留"Parallels“作为通用名称，并为DNS名称添加主题替代名称扩展名，它应该是首选匹配(即比通用名称更高的优先级)。

Answer 2

我甚至可以生成一个公用名是ip地址的证书吗？

(感谢Bruno指出正确的解决方案)在企业社会责任中有足够的设置subjectAltName。

IFAIK在Plesk中没有这样的选项，但这里是openssl http://apetec.com/support/GenerateSAN-CSR.htm的很好的说明

Answer 3

我甚至可以生成一个公用名是ip地址的证书吗？

不，您不应该这样做。虽然这可能适用于某些浏览器，但对于符合HTTPS specification的客户端，此操作将失败

在某些情况下，URI被指定为IP地址而不是主机名。在这种情况下，iPAddress subjectAltName必须出现在证书中，并且必须与URI中的IP完全匹配。

如果要在证书中使用IP地址，则必须将其作为使用者替代名称(类型为IP地址，而不是DNS)。您可以查看this question，了解有关如何执行此操作的详细信息。

然而，更重要的是，在您的情况下，听起来根本不需要使用IP地址。

证书名称验证的目的是检查证书中的身份是否与客户端请求的身份匹配。(反向查找或其他名称无关紧要。)

事实上，您已经为您的域名配置了系统，并且在使用域名时它可以正常工作，这意味着它已经正确配置。这听起来像是你给你的扫描工具提供了你试图扫描的IP地址(这不是客户端通常使用的地址)：让它使用你的主机名。这就是扫描工具应该尝试比较的。