在创建SSL证书时，通用名称应该是域名还是IP地址？

Question

我运行这个命令来创建一个证书：

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

它要求我填写以下信息：

City

• Organization
• 国家名称(2个字母代码)AU:美国
• 州或省名称(全名)--一些州:纽约
• 局部性名称(例如，城市)[]：纽约

公司名称(如，公司)互联网Widgits Pty Ltd:Test，Inc.

• Organizational Unit (例如，[]：水利部Slides
• Common名称(例如服务器名称或您的名称)[]：应该是域名还是IP address?
• Email地址[]:admin@your_domain.com

？

Answer 1

服务器证书的公共名称与现代TLS堆栈无关。相反，必须使用主题替代名称。CN被认为是过时的，主要的浏览器(Google和相关的浏览器)甚至不会考虑CN内部的内容。

在SAN中，需要给出用于访问站点的名称。这意味着如果URL是https://domain/，那么domain必须用作SAN类型的DNSName。如果URL是https://ip/，那么ip必须与SAN类型的IPAddr一起使用。对于域，也可以使用通配符，但在最左边的标签中只有一个通配符。