Для какого типа сертификата SSL вам нужен выделенный IP-адрес?

Question

Эй, там, кто читает.

У меня есть вопрос, и речь идет о вопросе UNI, который я не могу найти, чтобы найти ответ при исследовании, поэтому я подумал, что я приду к специалистам в Интернете.

Вопрос, на который меня спрашивают: 3. Для какого типа сертификата SSL вам нужен выделенный IP-адрес?

Я понимаю, что если просьба о помощи с uni противоречит условиям, так как я знаю, что некоторые веб-сайты этого не позволяют. (Но не пытка, да?)

Thankyou для всех, кто помогает

Answer 1

Для какого типа сертификата SSL вам нужен выделенный IP-адрес?

Контекст вопроса неизвестен, и неизвестно, что именно означает «тип» сертификата SSL в этом неизвестном контексте. Это может быть подтверждено в домене по сравнению с расширенным подтвержденным или холодным - X.509v1 против X.509v3 или даже другими вещами. Но я попытаюсь объяснить основные понятия, чтобы вы могли надеяться получить ответ самостоятельно.

Проверка сертификата включает проверку целевого имени хоста (из URL-адреса в случае HTTPS) в отношении предметов сертификата. Эти субъекты могут быть указаны как альтернативные имена субъектов и/или как общее имя. Обычно ни один из этих субъектов не имеет IP-адрес, что означает, что обычно не требуется фиксированный IP-адрес для сервера, использующего этот сертификат, - все, что необходимо, - это то, что сервер действительно доступен по данному имени хоста (то есть DNS правильно настроен) и что клиент использует это имя хоста для подключения к серверу (вместо использования только IP-адреса).

Но можно также включить IP-адреса в качестве предмета сертификата. Это необычно, и ни один публичный CA (найденный как доверительный якорь в браузере) не выдаст такой сертификат больше, но частный CA может это сделать. Проверка похожа на имя хоста, то есть клиент должен использовать IP-адрес в URL-адресе для доступа к сайту и проверять, что используемый IP-адрес соответствует любому из IP-адресов, предоставленных как предмет в сертификате. Наличие фиксированного IP-адреса поможет в этом случае, но на самом деле единственным требованием является то, что IP-адрес, который использует клиент, включен как любой из возможных объектов в сертификате. Это означает, что на самом деле сервер может быть доступен по разным IP-адресам, если все они включены в сертификат в качестве объекта.