带有通配符IP的证书subjectAlternativeName

Question

我需要创建一个证书，它将用作隔离LAN中任何随机主机上的TLS服务器授权。我是否可以在subjectAlternativeName字段中使用通配符代替IP域，如10.0.0.255或10.0.0.0/24？

附注: LAN中的任何主机都可以是分布式服务器网络的客户端，这些服务器可以在任何主机上启动，并连接到负载均衡器后面的fluid dynamic greed，负载均衡器管理这个crease网络中的连接。)

Answer 1

以下是RFC 2818 (假设您正在谈论HTTPS)对此的看法：

在某些情况下，URI被指定为IP地址而不是主机名。在这种情况下，iPAddress subjectAltName必须出现在证书中，并且必须与URI中的IP完全匹配。

这将排除通配符或子网表示法的使用。

最新的RFC 6125旨在协调跨其他协议的身份识别，明确将IP地址排除在其范围之外。

也就是说，您可能会发现有一些不符合规范的客户端有其自己的解释(例如，有一些客户端允许在主题DN的CN中使用IP地址)。我一般不建议对此寄予厚望。

你想在你所谓的“隔离局域网”上使用TLS，这似乎有点令人惊讶。此外，如果您控制了LAN，则可以为计算机指定名称并使用主机名匹配。