ssl с меняющимся сервером IP-адресов

Question

Я делаю тестирование с помощью ssl, и мне нужно выдать сертификаты всем клиентским машинам, чтобы они могли выполнять wcf-вызовы на сервер виртуальной машины, который у меня есть.

Я предполагаю, что сертификат долженсопоставьте имя, которое они вводят в адресную строку, чтобы не дать какой-либо неверной ошибки сертификата.

Они вводят IP.Иногда этот IP меняется.Я не хочу продолжать устанавливать сертификаты на всех клиентах.

Возможно, я могу использовать файл hosts для этого?

DNS здесь не вариант.

Какой лучший способ сделать это (только для тестовой среды).

Answer 1

Вот что я бы сделал в вашем случае:

• Создать свой собственный сертификат (MyCA) для использования в качестве центра сертификации
• Установите myCA в качестве доверенного корневого администратора на каждом клиенте. (один раз с работы)
• Затем я подпишу сертификат для каждого тестового хоста с MyCA.

Рукопожатие SSL работает путем сопоставления атрибута Common Name сертификата SSL, который сервер (тестовый хост) обслуживает на клиентской стороне . Таким образом, имя, которое клиент использует для разрешения тестового хоста. Чтобы убедиться, что имена совпадают, вы можете использовать DNS или файл hosts.

PS: я никогда не подписывал сертификат, устанавливая атрибут общего имени в IP-адрес, но, возможно, стоит попробовать. Вышеприведенный случай работал хорошо для меня в нескольких случаях.

В сети много учебников, поэтому вот один . Существуют также способы подписывать запросы IIS с помощью OpenSSL.

Суть в следующем: SSL-сертификат вашего сервера должен быть в порядке и подтвержден клиентом.

Answer 2

В тестовой среде, если имя не совпадает с сертификатом, пользователь будет предупрежден и может щелкнуть, чтобы проигнорировать предупреждение и продолжить.Я использовал сертификаты таким образом для тестирования окрестностей в прошлом.