SSL证书中的IPv6地址
是否有可能获得IPv6地址的SSL证书,例如https://[1234:5678:9000:abcd:9876:5432:10ab:cdef]?若然,是否有这类用法的例子?假设在这种情况下设置个人根CA并在设备上安装是一个可行的选项。
这个问题类似于:"公共IP地址的SSL证书?",但并不完全相同,因为:
- 我在询问有关IPv6 SSL证书的情况。
- 我只是想问,制作这些证书是否可行,而不是如何实现它(尽管解释一下如何做到这一点是值得赞赏的)
回答 5
Server Fault用户
发布于 2019-08-21 02:46:01
是的,subjectAltName扩展允许一个iPAddress OID,它可能包含一个以网络字节顺序作为16位字节的IPv6地址。有关更多详细信息,请参阅RFC5280 s4.2.1.6。
Server Fault用户
发布于 2019-08-22 13:52:07
关于生产用途,cloudflare-dns.com通常称为1.1.1.1。证书的SAN包括服务的IPv4和IPv6地址。
我怀疑这样一个证书的原因是为了在TLS上实现DNS。同样响应于https,您可以在浏览器中看到证书:https://[2606:4700:4700::1111]
支持subjectAltName但不支持v6 iPAddress的实现是一个bug。
很少有iPAddress证书请求的例子,使用v6的例子甚至更少。感谢用于测试FreeIPA的v6,他们最近添加了IP地址证书。可以使用NSS生成Cert请求,如下所示:
certutil --extSAN dns:host.example.com,ip:2001:db8:3902:3468::443Server Fault用户
发布于 2019-12-28 15:40:07
有一个项目可以给每个IPv6地址命名。他们有一个相应的Docker映像运行--让我们对这些名称进行加密。这与“IPv6地址证书”不完全相同,但它非常接近,而且是自动化的。
https://serverfault.com/questions/980071
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号