Как настроить самоподписанный ssl с IPL-адресом publi c в XAMPP (windows)?

Question

Я пытаюсь настроить самозаверяющий ssl-сертификат на одном из моих серверов. У меня есть 3 сервера. Я использую 1 publi c ip для всех трех серверов. Для этого я использую переадресацию портов. Я знаю, используя openssl, я могу настроить самоподписанный ssl для localhost (частная сеть). У меня есть ниже вопросы относительно моей проблемы. Я использую xampp на windows сервере.

1. Можно ли настроить самозаверяющий ssl-сертификат для IPL-адреса publi c с портом? если да, то как я могу это сделать?

Я видел учебник по настройке самозаверяющих сертификатов, но все они для частного ip.

Answer 1

Meta: это действительно вопрос операций, а не программирования или разработки, и offtopi c для SO

HTTPS-сервер (например, Apache) должен использовать сертификат, включающий имя используется для доступа к нему , т. е. в URL-адресах, используемых клиентами, , исключая любую спецификацию порта. Это может быть имя домена или IP-адрес (любого типа: v4 или v6, publi c или private, если использование этого адреса от клиента (-ов) достигает правильного сервера). Это означает, что несколько серверов в разных портах на одном и том же адресе могут использовать один и тот же сертификат, если вы sh, но они также могут быть разными, если вы предпочитаете.

A publi c CA будет выдавать только сертификат, содержащий доменное имя или адрес, который вы можете доказать своим, что возможно только для полностью квалифицированного доменного имени в публичном c DNS или «постоянного» publi c address, но для сертификата, который вы создаете самостоятельно, это ограничение не применяется.

С начала века вы должны использовать расширение Subject Alternative Name (SAN), а не только атрибут CommonName в Subject, как вы можете найти на многих веб-сайтах и ​​в блогах, которые копируют устаревшую или неверную информацию. SAN может указать более одного имени, если необходимо, но обратите внимание, что каждый элемент в нем явно указывает DNS или IP-адрес; не забудьте использовать правильный (ые). Все популярное программное обеспечение поддерживает SAN в течение многих лет, но пока только Chrome (ium) требует . OpenSSL может создавать сертификаты с такими расширениями, как SAN, но не с помощью самого простого метода, который очень популярен на устаревших или неправильных веб-сайтах, а именно req -new, за которым следует basi c x509 -req. См .:

https://security.stackexchange.com/questions/150078/missing-x509-extensions-with-an-openssl-generated-certificate
https://unix.stackexchange.com/questions/371997/creating-a-local-ssl-certificate
https://unix.stackexchange.com/questions/393601/local-ssl-certificates-in-chrome-ium-63

PS: Windows не имеет значения, за исключением того, что вам, вероятно, нужно установить OpenSSL, тогда как во многих Unices он уже присутствует по умолчанию