IP或域SSL

Question

它的服务器将在intranet环境中运行.

我让Apache使用SSL。我使用的是使用以下步骤创建的自签名SSL证书：http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#realcert，在How do I create and use my own Certificate Authority (CA)部分。当我创建证书时，我在CommonName字段中使用域，所以当我在web浏览器中安装证书后访问https://mysite.com时，一切都很顺利……当我尝试按IP地址使用服务器时，即使我的域名证书已经安装在web浏览器中，也会收到以下类型的错误(IE)：

我希望该网站也可以通过IP地址访问，而不需要web浏览器有一个fit (https://1.2.3.4)。是否有可能为https使用服务器或域的IP地址进行设置？我需要这个设置，因为有些人通过IP访问服务器，有些人使用域名。

更新:我试过使用“Subject Alternative Name”，效果很好，但是这个功能将于11月1日到期，2015...So，不要使用它！以下是关于这一主题的一些后续文件：

https://www.digicert.com/internal-names.htm

https://cabforum.org/wp-content/uploads/Guidance-Deprecated-Internal-Names.pdf

以下是上述.pdf中关于这一主题的“blurb”：

此外，自生效之日起，CA不得在2015年11月1日后签发一份证书，证书的有效期应晚于2015年11月1日，证书上的SAN或Subject通用名称字段应包含保留的IP地址或内部服务器名称。

令人遗憾的是，如果这一切都很好，但是在创建了一个10年的证书之后，却撞上了这堵砖墙，并且看到了网页浏览器除了它之外没有别的东西。不管怎样，如果有工作的话.

Answer 1

AFAIK，在访问站点时，您需要使用与证书注册相同的域。因此，在浏览器检查证书时，IP地址总是失败的，因为IP不是证书的一部分。

Answer 2

浏览器将尝试将证书的Subject字段与匹配。

AFAIK，您不能以这种方式连接到IP，并且期望SSL证书验证ok。(我可能错了)

此外，您使用的是自签名SSL证书。除非您将CA证书作为受信任的CA导入到浏览器中，否则始终会收到警告。

查看远程SSL证书的一个有用的openssl命令是(例如)：

openssl s_client -connect www.example.com:443

或者在你的例子中：openssl s_client -connect remote IP:443

这可能有助于调试。