Установите SADS сертификат Godaddy на Amazon EC2
Я новичок в настройке ssl сертификата и csr, я хочу использовать публичный ip вместо имени домена в ssl. я создал CSR-файл, используя следующую команду и информацию
openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr
Generating a 2048 bit RSA private key
.....................+++
...........................................+++
writing new private key to 'mydomain.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:Delhi
Locality Name (eg, city) []:Delhi
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyComp ITES pvt ltd
Organizational Unit Name (eg, section) []:chatapp
Common Name (e.g. server FQDN or YOUR name) []:123.123.123.12(Elastic IP)
Email Address []:amitdubey@gmail.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
эта команда генерирует два файла
1.mydomain.key
2.mydomain.csr
я копирую весь текст из mydomain.csr и вставляю его в запрос на подпись сертификата godaddy (CSR), но он выдает ошибку
Public IP addresses are not allowed.
Может ли кто-нибудь помочь мне, что со мной не так и как можно исправить эту ошибку.
3 ответа
Обычно вы не можете получить сертификаты SSL, выданные с IP-адресом в качестве имени субъекта.
Во-первых, у вас нет никаких оснований для выдачи такого сертификата, если только вам не делегирован блок IP (например, из RIR). Это означает, что если вы не указаны и не указаны в информации whois для этого блока IP, вы не получите сертификат.
Во-вторых, не все центры сертификации будут делать это даже в этом случае.
В этом смысле ваш эластичный IP-адрес немного похож на поддомен. Он доступен для вашего использования и связан с вами в контексте вашего провайдера, но что касается ICANN и его потомков, то это не ваше.
Все остальные ответы кажутся правильными, но, возможно, они упускают суть. Мне кажется, что настоящий ответ - не делай этого.
Я не могу представить вариант использования, который требует от вас обеспечить произвольный IP-адрес; это кажется плохой идеей по всем уважительным причинам, упомянутым в других ответах. Вы теряете гибкость, отделяя имя от IP-адреса, для которого изначально предназначен DNS.
Вы должны просто зарегистрировать сертификат на произвольном поддомене, которым вы владеете, и полностью обойти эту проблему, вместо того чтобы идти вразрез и пытаться обойти проблему.
Общее имя должно быть полным доменным именем домена, для которого вы хотите запросить сертификат.
Например www.example.com
Это не может быть IP-адрес.