带IP的SSL证书

Question

我有一个嵌入式设备，它正在运行一个https服务器。将使用IP地址从标准web浏览器访问此设备。我正在生成一个TLS证书。我添加了一个commonName (静态字符串)和subjectAltName (默认IP地址)并生成了证书。

如果更改了IP地址或启用了DHCP，或者添加了更多接口，比如设备也可以拥有专用IP 192.168.x.x或169.254.x.x，我是否必须重新生成证书？

对于使用IP地址并具有动态或多个IP的证书，一般建议是什么？

Answer 1

通常不建议对证书使用IP地址.

也就是说，你有几种选择。如果绝对必须使用IP地址作为标识符，则可以将DHCP服务器配置为始终为嵌入式设备的NIC提供相同的IP地址。我使用这种技术来确保我家里的所有静态设备都有固定的、已知的IP地址(例如，我的路由器是192.168.0.1，我的家庭服务器是192.168.0.2等等)，以及所有的“动态”设备(例如电话等)。有高的IP地址。

此外，还可以使用DNS。您可以使用内部DNS服务器来管理伪TLD(如.lan或.local )，并使用该服务器给出设备的逻辑名称。例如，您可以指定您的打印机为printer.lan，并给它固定的IP地址192.168.0.7。这样，如果IP需要更改，则不需要重新生成证书。您只需要更改DNS条目。

，但是为什么不建议将IP地址用于证书呢？

这是一个合理的问题。从概念上来说，证明某物在某一名称下是可到达的，而不是某个地址，这是有意义的。CA希望签署“此证书用于printer.lan"，而不是”此证书用于192.168.0.7"，因为正如您正确标识的那样，您确实无法知道一两个月内谁将是192.168.0.7。

另一方面，逻辑名称将保持不变。你的手机永远不会被称为printer.lan，即使有一天它可能在192.168.0.7下被联系到。